Архив метки: PositiveTechnologies

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies

Добавить комментарий

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies

Прочитал пост Алексея Лукацкого про мерч, приуроченный к опросу от Positive Technologies. Имхо, вообще любой сувенирчик это приятно. 😊 Не могу согласиться с тем, что классика себя изжила. Для меня всё наоборот.

🔻 Футболки - топ! Основа моего гардероба. Главное, чтобы достаточно качественные, с нормальным принтом (без эффекта горчичника) и не белые (чтобы со стиркой не заморачиваться). Ну и без каких-то совсем уж провокационных надписей.
🔻 Если вдруг худи, то ещё лучше. Но тут важно, чтобы не большемерили. Оверсайз ещё ок, но что-то откровенно гигантское а-ля баленсиага носить вряд ли будет возможно.
🔻 Блокноты и ручки - отлично. Я когда работаю люблю разбивать большие задачки на как можно более мелкие, организоваывать их в "диаграммы" с прямоугольничками и стрелочками, а по завершении каждой задачки перечеркивать её прямоугольничек и переходить к следующей. Такой вот простенький GTD метод, чтобы разделить микропланирование и непосредственное выполнение. Поэтому блокнотики у меня расходуются только в путь. Ну и вообще я люблю всякую канцелярщину. 🤤
🔻 Носки? Мне пока такое не перепадало, но если годные, то почему бы и нет.

По остальному даже и не знаю. Из вишлиста Алексея Викторовича меня что-то ничего не впечатляет. То есть я такое приму безусловно с благодарностью, но пользоваться вряд ли буду и постараюсь кому-то поскорее передарить. 😇

Будет ли критичная RCE в Confluence (CVE-2023-22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках?

Добавить комментарий

Будет ли критичная RCE в Confluence (CVE-2023-22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках?

Будет ли критичная RCE в Confluence (CVE-2023-22527), о которой сообщали на прошлой неделе, активно эксплуатироваться в реальных атаках? Похоже на то. 🧐

🔻 К пятнице PT SWARM (Positive Technologies Offensive Team) успешно воспроизвели эту уязвимость

🔻 AttackerKB со ссылкой на TheDFIRReport пишут, что активная эксплуатация этой уязвимости уже началась

🔻 Сегодня опубликовали разбор уязвимости от ProjectDiscovery

Так что если у вас Confluence уязвимой версии, обновляйтесь ASAP! 👾

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday

Добавить комментарий

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday

🟥 Экспертный центр PT пока относит к трендовым 2 уязвимости из декабрьского Patch Tuesday. И это не те уязвимости, на которые можно было подумать и о которых все пишут. Это две малозаметные EoPшки:

🔻 Elevation of Privilege - Windows Ancillary Function Driver for WinSock (CVE-2023-35632). В этом году был прецедент, когда EoP в Windows Ancillary Function Driver for Winsock (CVE-2023-21768) довели до эксплоита за 24 часа. В январе вышла уязвимость, в марте уже был модуль в Metasploit. Расковыряют ли в этот раз? Посмотрим. 🍿

🔻 Elevation of Privilege - Windows Win32k (CVE-2023-36011). EoP эксплоиты для Win32k появляются очень часто и обновления для этой конкретной CVE выпустили для всех версий Windows, начиная с Windows Server 2012. 🕵‍♂

Остальные уязвимости, несмотря на занимательные описания, пока не дотягивают до трендовых. Но это вовсе не значит, что их не нужно исправлять. Очень даже нужно. 😉

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM

1 комментарий

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VMПосмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM

Посмотрел вебинар про использование MaxPatrol EDR в качестве агента для MaxPatrol VM.

Зачем нужно агентное сканирование:

🔸 можно сканировать активы, до которых активно не достучишься (десктопы)
🔸 нет проблем с учётками
🔸 можно более оперативно обновлять данные

Что показали:

🔹 как в политиках модуля EDR настраивается сканирование (запуск по расписанию, ожидание запуска пока не снизится загрузка CPU, пауза между повторными сканированиями, запуск по событию EDR)
🔹 как выглядит вкладка с состоянием агента
🔹 как выглядят результаты в активах VM

Важные моменты:

🔻 Агенты полноценные, сами инициируют соединение.
🔻 Поддерживается Windows и Linux (в т.ч. Astra Linux). MacOS пока не сканится, хотя EDR там работает.
🔻 Если у вас есть лицензия на VM, нужно будет докупить лицензию на агентное сканирование на нужное количество хостов.
🔻 Полноценный EDR можно не покупать, можно будет использовать урезанные агенты EDR только с функцией сканирования.

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

2 комментария

Экспорт данных из MaxPatrol VM через API по PDQL-запросу

Экспорт данных из MaxPatrol VM через API по PDQL-запросу. К завтрашнему выступлению выкладываю небольшой мануал и пример скрипта.

1. Для работы с API вам понадобится логин и пароль пользователя, а также параметр ClientSecret, который лежит на сервере в /var/lib/deployer/role_instances/Core/params.yaml

2. Делаем запрос к mpvm_url + ':3334/connect/token', получаем токен, который подставляем в хидер authorization в виде 'Bearer ' + token. ⚠️ Получение токена у идёт по порту 3334, а дальнейшая работа с API по порту 443!

3. Делаем запрос к assets_grid с PDQL-запросом, получаем pdql_token. Затем с этим токеном делаем запросы к assets_grid/data увеличивая offset. Упёрлись в лимит 50000 результатов? Добавьте "| limit(0)" в конец PDQL-запроса.

🧠 Отлаживать PDQL-запросы удобнее в web-gui и затем смотреть какие запросы браузер шлёт, т.к. используется тот же API.

📄 Пример python-скрипта для экcпорта всех трендовых уязвимостей.

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

Добавить комментарий

Прожектор по ИБ, выпуск №13 (26.11.2023): Метания Альтмана, кошко-девушки и тормозной CISA KEV

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Максим Хараск, "Global Digital Space"

00:00 Здороваемся, смотрим статистику по прошлому эпизоду и комментарии
02:30 Впечатления от Кибердома, потенциальная книга по VM от Positive Technologies
12:44 CISA KEV люто тормозит
20:19 Про спор ОМП и Ред Софт об AOSP в реестре Минцифры
31:58 USB-стиллер против Windows Hello и про биометрию вообще
41:04 8 млрд рублей перевели мошенникам жители РФ, не доверяйте входящим звонкам
47:08 Хакеры требуют кошко-девушек
49:59 Карьерные метания товарища Альтмана
54:45 Несёт ли бред ИИ?
56:57 Прощание от Mr.X

Добрался до Кибердома под самый конец Standoff / Moscow Hacking Week

Добавить комментарий

Добрался до Кибердома под самый конец Standoff / Moscow Hacking Week
Добрался до Кибердома под самый конец Standoff / Moscow Hacking WeekДобрался до Кибердома под самый конец Standoff / Moscow Hacking WeekДобрался до Кибердома под самый конец Standoff / Moscow Hacking Week

Добрался до Кибердома под самый конец Standoff / Moscow Hacking Week. Первый раз на площадке. Впечатления - пока ничего не понятно как здесь что, но просторно и масштабно, впечатляет. 🙂

Приехал на выпускной PT-шного курса по VM-у.