S.E.Reborn

👨‍💻 AppSec каталог. • Автор одного ТГ канала сделал каталог с различными AppSec и DevSecOps инструментами, которые разбиты по категориям. Есть удобный фильтр по разным параметрам и возможность выгрузить полученный результат в формате csv. Каталог доступен по ссылке ниже: ➡️ https://bezrabotka.ru • От себя добавлю, что инструментов в каталоге не так уже и много, хотя на портале есть кнопка "Предложить инструмент", что дает возможность дополнить данный список. Очень надеюсь, что автор не забьет и продолжит поддерживать ресурс в актуальном состоянии / добавлять новые инструменты, иначе данный сайт будет бесполезен. S.E. ▪️ infosec.work ▪️ VT

👨‍💻 Attacking Against DevOps Environment. • SCM AUTHENTICATION; • CI/CD service authentication; • Organization’s public repositories; • Configured webhooks; • Configured webhooks; • Direct PPE (d-PPE); • Indirect PPE (i-PPE); • Public PPE; • Public dependency confusion; • Public package** hijack (“repo-jacking”); • Typosquatting; • DevOps resources compromise; • Changes in repository; • Inject in Artifacts; • Modify images in registry; • Create service credentials; • Secrets in private repositories; • Commit/push to protected branches; • Certificates and identities from metadata services; • User Credentials; • Service Credentials; • Compromise build artifacts; • Registry injection; • Spread to deployment resources; • Service logs manipulation; • Compilation manipulation; • Reconfigure branch protections; • DDoS; • Cryptocurrency mining; • Local DoS; • Resource deletion; • Clone private repositories; • Pipeline logs; • Exfiltrate data from production resources. ➡️ https://blog.devsecopsguides.com #DevOps

🔐 Active Directory Attacks Series. • Держите полезный плейлист, в котором представлен разбор базовых атак на Active Directory: • Pass-the-Hash Attack Using Mimikatz; • Plaintext Password Extraction through Group Policy Preferences; • AdminSDHolder Modification; • Ntds.dit Password Extraction; • Performing Reconnaissance Using LDAP; • DCSync Attack Using Mimikatz Detection; • DCShadow Attack Using Mimikatz; • Password Spraying; • Kerberos Silver Ticket; • Kerberoasting; • Golden Ticket; • Pass-the-Cookie; • AD Attribute Takeover; • Lateral Movement. #AD #Eng

🚀 MEETUPxSPRINT OFFER для инженеров технической поддержки от YADRO Хочешь узнать, как устроена техническая поддержка в одной из ведущих технологических компаний России? Приходи на онлайн-митап от YADRO! Расскажем, покажем, ответим на любые вопросы — и дадим возможность попасть в команду всего за 3 дня! 🔥 Программа митапа: ✔️ Сервисная служба YADRO: основные ресурсы и направления Василий Бронников, Руководитель отдела техподдержки решений ✔️ Наши продукты: уникальные характеристики и возможности Андрей Антоненко, Ведущий инженер техподдержки TATLIN ✔️ Реальные кейсы: как команды решают сложные задачи Дмитрий Сафонов, Руководитель группы L1-поддержки TATLIN.UNIFIED 🔥 Что тебя ждёт: ➖ Реальные кейсы и инсайты из практики техподдержки ➖ Доклады от инженеров YADRO: продукты, процессы, особенности ➖ Живое общение с командой и ответы на вопросы о работе и технологиях 👨‍💻 А если ты задумываешься о новой работе — у тебя есть возможность быстро попасть в команду YADRO и получить оффер за 3 дня. Для этого нужно пройти короткий тест. Сделать это можно уже сейчас, а также во время или после митапа — выбирай, как тебе удобно (но заявки принимаем до 6 июля). 📌 Тест можно пройти по ссылке. ➖➖➖ 🗓 26 июня, начало в 19:00 мск, четверг 🌐 ОНЛАЙН ✅ Регистрация на мероприятие

👨‍💻 Глубокое погружение (на примере Linux). • Давайте разберемся, как работает ПК от запуска до выполнения программы. Вашему вниманию представлен перевод материала, который опубликован на английском языке. Статья поможет Вам ответить на многие вопросы: программы действительно выполняются прямо в центральном процессоре (central processing unit, CPU)? Как работают системные вызовы syscalls? Чем они являются на самом деле? Как несколько программ выполняются одновременно? • Статья получилась объемной (1 час на прочтение) и сложной, но весьма интересной. Приятного чтения: • Основы: - Архитектура компьютера; - Процессоры наивны; - Два кольца, чтобы править всеми; - Системный вызов; - Интерфейсы оболочки: абстрагирование прерываний; - Жажда скорости / CISC. • Нарезка времени: - Программные прерывания; - Расчет временного интервала; - Заметка 1: выгружаемость ядра; - Заметка 2: урок истории. • Запуск программы: - Стандартное выполнение системного вызова; - Шаг 0. Определение; - Шаг 1. Настройка; - Шаг 2. Binfmt; - Скрипты; - Разные интерпретаторы; - В завершение. • Elf: - Структура файла; - ELF Header; - Краткое объяснение связывания; - Динамическая компоновка в дикой природе; - Выполнение. • Преобразователь: - Память — это фикция; - Безопасность подкачки; - Иерархическая подкачка и другие оптимизации; - Обмен и подкачка по требованию. • Вилки и коровы: - Возвращаемся к ядру; - Инициализация Linux; - Отображение памяти при клонировании; - В заключение. ➡️ https://cpu.land/ #Разное #Linux

Исследователи SentinelOne поделились подробностями инцидента, связанного с попыткой атаки на цепочку поставок со стороны китайских хакеров через фирму-подрядчика. Учитывая, что использование EDR/XDR-решений в защите критической инфраструктуры и корпоративного сектора, SentinelOne представляет весьма интересную цель для APT-субъектов, поскольку ее взлом может открыть доступ к корпоративным сетям нижестоящего уровня. SentinelLabs впервые раскрыла попытку атаки в апреле, а в новом отчете сообщает о выявлении в ходе ее расследования более широкой кампании, нацеленной на более чем 70 организаций по всему миру в период с июня 2024 года по март 2025 года. Целями выступали компании в госсекторе, в сфере телекоммуникаций, СМИ, финансов, производства, исследований и ИТ. Сама кампания разделена на два кластера. Первый из них - PurpleHaze: приписывается APT15 и UNC5174 и охватывает период с сентября по октябрь 2024 года. При этом SentinelOne была целью обоих кластеров: один раз для разведки, а другой - для вторжения в цепочку поставок. Исследователи подозревают, что злоумышленники в обеих кампаниях в качестве вектора первоначального доступа использовали уязвимости в открытых сетевых устройствах, включая устройства Ivanti Cloud Service и шлюзы Check Point. Кроме того, фиксировалась связь с серверами ShadowPad C2, исходящую от серверов Fortinet Fortigate, Microsoft IIS, SonicWall и CrushFTP, что позволяет предположить потенциальную эксплуатацию и этих систем. Волна атак PurpleHaze на SentinelOne в октябре 2024 года была нацелена на сканирование серверов компании, подключенных к Интернету, через порт 443, в попытках сопоставить доступные сервисы. Злоумышленники также зарегистрировали домены, маскирующиеся под инфраструктуру SentinelOne, такие как sentinelxdr[.]us и secmailbox[.]us. На основании полученных в ходе расследования PurpleHaze артефактов, исследователи установили, что в реализации атак хакеры задействовали бэкдор GOREshell, который внедрялся на открытые сетевые конечные точки с использованием 0-day эксплойтов. Более поздний кластер активности - ShadowPad: был инициирован APT41 в период с июня 2024 года по март 2025 года. И вновь в начале 2025 года злоумышленники пытались осуществить атаку на цепочку поставок SentinelOne, предположительно, с помощью вредоносного ПО ShadowPad, замаскированного с помощью ScatterBrain, через доверенного подрядчика - логистическую компанию. Атакующие доставили вредоносное ПО к цели через PowerShell, который использовал 60-секундную задержку для обхода песочницы. Затем вредоносное ПО осуществляло перезагрузку системы через 30 минут, чтобы зачистить следы в памяти. Хакеры развернули среду удаленного доступа с открытым исходным кодом Nimbo-C2, реализующую широкий спектр удаленных возможностей, включая снимки экрана, выполнение команд PowerShell, файловые операции, обход UAC и многое другое. Злоумышленники также задействовали скрипт эксфильтрации на основе PowerShell, который выполняет рекурсивный поиск конфиденциальных пользовательских документов, архивирует их в защищенном паролем архиве 7-Zip и извлекает их. SentinelOne отмечает, что конечные цели злоумышленников остаются неясными, но наиболее вероятным сценарием является взлом цепочки поставок. Компания тщательно проверила свои активы и сообщила, что никаких нарушений в программном обеспечении или оборудовании SentinelOne обнаружено не было. Как было на самом деле - вряд ли кто расскажет. Но будем посмотреть.

📶 Протоколы транспортного уровня UDP, TCP и SCTP: достоинства и недостатки. • В статье рассматриваются три основных протокола транспортного уровня: UDP, TCP и SCTP, их преимущества и недостатки. Анализируется логика работы протоколов и ситуации, при которых предпочтительно использовать тот или иной протокол. Также приведено соответствие стека TCP/IP модели OSI и примеры приложений, использующих данные протоколы. • Источник. #Сети

И вновь про таинственную папку inetpub, которая создавалась после апрельских обновлений безопасности Windows и вызвала много вопросов у пользователей, которым строго настрого рекомендовалось ее не удалять. На этот случай Microsoft выпустила целый скрипт PowerShell, который поможет восстановить C:\Inetpub, если она все же была удалена. В Microsoft предупреждают: эта папка помогает смягчить уязвимость повышения привилегий активации процессов Windows высокой степени серьезности. В апреле, после установки новых обновлений безопасности, пользователи Windows внезапно обнаружили создание пустой папки, а поскольку эта папка связана с Microsoft Internet Information Server, пользователи сочли странным, что она была создана, при том, что сервер не был установлен. В связи с чем некоторые предпочли удалить папку, что сделало их снова уязвимыми для исправленной уязвимости. Microsoft заявила, что пользователи, которые удалили ее, могут вручную воссоздать ее, установив Internet Information Services из панели управления Windows «Включение или отключение компонентов Windows». После установки IIS в корень диска C:\ будет добавлена новая папка inetpub с файлами и тем же владельцем SYSTEM, что и у каталога, созданного апрельскими обновлениями безопасности Windows. Кроме того, если IIS не используется, его можно удалить с помощью той же панели управления компонентами Windows, оставив папку C:\inetpub. В новом обновлении рекомендаций по CVE-2025-21204 компания также поделилась сценарием исправления, который помогает администраторам повторно создать эту папку из оболочки PowerShell. Как объясняет Редмонд, скрипт установит правильные разрешения IIS для предотвращения несанкционированного доступа и потенциальных уязвимостей, связанных с CVE-2025-21204. Он также обновит записи списка управления доступом (ACL) для каталога DeviceHealthAttestation в системах Windows Server, чтобы гарантировать его безопасность в случае создания обновлений безопасности за февраль 2025 года. Уязвимость безопасности (CVE-2025-21204), устраняемая папкой inetpub, вызвана проблемой неправильного разрешения ссылок в стеке обновлений Windows. Вероятно, это означает, что Центр обновления Windows может переходить по символическим ссылкам на необновленных устройствах, что позволяет локальным злоумышленникам обмануть ОС, заставив ее получить доступ к нежелательным файлам и папкам или изменить их. По словам Microsoft, успешная эксплуатация уязвимости позволяет злоумышленникам с низкими привилегиями повышать разрешения и манипулировать или выполнять операции по управлению файлами в контексте учетной записи NT AUTHORITY\SYSTEM. Несмотря на отсутствие каких-либо проблем с использованием Windows после удаления папки, Microsoft в своем обновленном бюллетене требует от пользователей не удалять пустую папку %systemdrive%\inetpub независимо от того, активны ли службы IIS на целевом устройстве. В свою очередь, ресерчер Кевин Бомонт также продемонстрировал, что пользователи, не имеющие прав администратора, могут злоупотреблять этой папкой, чтобы блокировать установку обновлений Windows, создавая соединение между C:\inetpub и любым файлом Windows.

💻 Мини-курс по SQL. Базы данных курс для начинающих! • 00:00:00 Введение; • 00:02:43 Платные курсы и что изучать дальше; • 00:04:55 Коротко об онлайн редакторе; • 00:07:11 Что такое база данных; • 00:08:10 Что такое CRUD; • 00:10:05 Запрос на создание первой таблицы; • 00:11:57 Типы данных у атрибутов(колонок) (DATA TYPES); • 00:17:26 Прописываем атрибуты(колонки) первой таблицы; • 00:21:07 Создаем первую таблицу (CREATE TABLE); • 00:21:38 Проверка на наличие таблицы при создании (IF NOT EXISTS); • 00:22:18 Запрос на удаление таблицы(DROP TABLE); • 00:22:33 Проверка на наличие таблицы при удалении(IF EXISTS); • 00:22:57 Запрос на добавление объекта в таблицу (INSER INTO table); • 00:23:35 Запрос на чтение(получение) объектов из таблицы(SELECT * FROM table); • 00:24:18 Модификаторы для атрибутов(колонок) таблицы(NOT NULL, DEFAULT, UNIQUE); • 00:29:26 Изменение уже существующей таблицы(ALTER TABLE, ADD, DROP, RENAME, MODIFY COLUMN); • 00:36:08 Удаление объектов из таблицы(DELETE FROM table); • 00:37:06 Редактирование объекта в таблице(UPDATE table); • 00:39:03 Первичный ключ(PRIMARY KEY); • 00:45:37 Композиция в БД; • 00:50:38 "Иностранный" ключ(FOREIGN KEY); • 00:57:26 Индексы в бд(INDEX); • 00:59:24 Готовим данные для темы алиас, юнион и слияние таблиц; • 01:03:30 Слияние таблиц(INNER JOIN); • 01:06:02 Слияние таблиц(LEFT JOIN); • 01:06:53 Слияние таблиц(RIGHT JOIN); • 01:07:26 Слияние таблиц(FULL JOIN/OUTER JOIN) и Union; • 01:09:04 Алиас(table AS alias); • 01:12:18 Select Distinct в SQL; • 01:13:42 AND OR NOT в SQL; • 01:16:18 ORDER BY и LIMIT в SQL; • 01:17:35 MIN и MAX в SQL; • 01:18:25 COUNT SUM AVG в SQL; • 01:19:29 LIKE в SQL; • 01:21:31 IN и BETWEEN в SQL; • 01:22:50 GROUP BY в SQL; • 01:25:17 EXISTS в SQL; • 01:27:37 ANY и SOME в SQL; • 01:29:00 INSERT INTO в SQL; • 01:30:40 Отношения в базе данных; • 01:32:11 Отношения один к одному; • 01:33:09 Отношения один ко многим; • 01:34:09 Отношения многие ко многим; • 01:37:10 Отношения один к одному и один ко многим "через"; • 01:39:10 SQL инъекции. #Курс #RU #SQL

Rancher в продакшен: лучшие практики 👉 бесплатный вебинар от учебного центра Слёрм. Будем разбирать: 📍централизованное управление кластерами через единый интерфейс; 📍автоматизированные бэкапы и восстановление; 📍настройку доступа для команд и интеграцию внешней аутентификации; 📍встроенные мониторинг и использование магазина приложений. Подробно покажем и расскажем, как Rancher упрощает эксплуатацию k8s и управление инфраструктурой. Вебинар проходит в рамках курса «Kubernetes Мега». Эксперты встречи: ⭐️ Виталий Лихачев, SRE в крупнейшем голландском тревелтехе ⭐️ Вячеслав Федосеев, TeamLead DevOps в «Честном знаке» Когда: 16 июня в 19:00 мск Занять место на вебинаре 👉 через бота Освоить больше инструментов и прокачать навыки использования k8s в продакшене — на продвинутом курсе «Kubernetes Мега».