Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?
Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает 😉
Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Ну что ж, не будем томить и сразу передадим слово ребятам.
Про «белых хакеров», offensive security, веб-безопасность и не только
Ярослав Бабин, руководитель отдела анализа защищенности приложений, PT SWARM (@ptswarm)
В Positive Technologies занимается аудитом финансовых и веб-приложений, а также
взломоманализом защищенности банкоматов (АТМ) и OSINT. Специализируется на изучении методов социальной инженерии, знает все о проблемах и уязвимостях онлайн-банков. Отмечен в залах славы Adobe, Яндекс, Mail.Ru и других известных компаний как ведущий исследователь. Один из организаторов кибербитвы The Standoff и форума по практической безопасности Positive Hack Days. В прошлом — багхантер в Яндекс, Mail.Ru, Mozilla и участник CTF-команды Antichat.
Николай Анисеня, руководитель группы исследований безопасности мобильных приложений, PT SWARM (@ptswarm)
В компании занимается аудитом мобильных приложений для OC Android, iOS, а также анализом защищенности веб-приложений (в том числе банковских) и систем ДБО. Опытный исследователь, отмечен в залах славы Google, Microsoft, Яндекс, Instagram, Valve, Reddit, Evernote и других мировых компаний. Участвует в подготовке ежегодного форума PHDays. В прошлом — участник CTF в составе команды SiBears.
Отдел анализа защищенности приложений во главе с Ярославом поделился вот такой подборкой полезных материалов. 📌Сохраняйте в закладки, чтобы не потерять.
Форумы и блоги:
The SQL Injection Knowledge Base — техники эксплуатации SQL-инъекций и методов обходов WAF.
RDot — почти все, что сейчас появляется в мире ИБ, уже когда-то публиковалось на этом форуме.
ANTICHAT — комьюнити по безопасности, где обсуждают мировые новости, уязвимости, пентест и много чего еще.
CTF.Antichat — сборник задач от участников форума ANTICHAT.
WebSec — самые последние новости о веб-уязвимостях.
Reverse Engineering — сообщество, посвященное нюансам обратной разработки.
CTF TIME — ресурс, где можно узнать практически все о CTF, публикуют анонсы соревнований по практической безопасности, многие из которых открытые и проходят онлайн. После выкладывают разборы заданий, что помогает в обучении.
Что слушать полезного. Подкасты:
The Privacy, Security, and OSINT Show — еженедельный подкаст про разведку на основе открытых источников. Слушая его, можно узнать что-то интересное и подтянуть английский.
Hack me, если сможешь — подкаст о практической безопасности с самыми интересными выступлениями с форумов Positive Hack Days. Рассказывают о современных киберугрозах и защите от них. Уже доступны более 30 выпусков.
Мимокрокодил — подкаст про информационную безопасность.
Что читать:
Dafydd Stuttard. Marcus Pinto. The Web Application. Hacker's Handbook — на 900 страницах рассматриваются методы удаленного управления, HTML5, кросс-доменные коммуникации, кликджекинг, framebusting (проверка открытых страниц iframe с помощью Javascript), атака на веб-приложения HTTP Parameter Pollution, гибридная атака по словарю и многое другое. Книга на сегодняшний день не самая актуальная, но крайне полезная.
Практика, практика и еще раз практика! Курсы и лабы:
Hacker101 — бесплатный кус по веб-безопасности. Много видеоуроков, руководств и других материалов по взлому. Подойдет тем, кто интересуется или уже участвует в программах Bug Bounty.
WebSecurityAcademy — бесплатный онлайн-курс по веб-безопасности от создателей Burp Suite.
PEN-200 — официальный сертификационный курс OSCP, знакомит с инструментами и методами тестирования на проникновение на практике.
Hack The Box — масштабная онлайн-обучающая платформа по кибербезопасности, позволяющая улучшить навыки взлома. На ней практикуются специалисты со всего мира, компании и университеты.
Root Me — быстрая, доступная и реалистичная платформа для проверки навыков взлома, много заданий различной степени сложности.
Руководства по тестированию и базы знаний:
OWASP Mobile Security Testing Guide — тестинг гайд от OWASP по мобильным приложениям.
OWASP Web Security Testing Guide — тестинг гайд от OWASP по веб-приложениям.
HowToHunt — туториал и рекомендации по поиску уязвимостей.
Pentest Book — полезная база знаний по пентесту, сценариям проникновения и многом другом.
HackTricks — база знаний CTF-игрока, где он делится хакерскими приемами, техниками и всем, что узнал на CTF, а также последними исследованиями и новостями.
Telegram-каналы и чаты:
Android Guards — русскоязычное сообщество по безопасности Android-устройств и приложений. Его основатель, автор статей и ведущий стримов Артем Кулаков — теперь в нашей команде. Кстати, у него также есть YouTube-канал — подписывайтесь!
Hack3rScr0lls — ведется хакерами для хакеров, есть много красивых схем по тестированию различных сфер безопасности.
The Bug Bounty Hunter — все о Bug Bounty.
Android Security & Malware — новости ИБ с уклоном в мобильные устройства, пишут о зловредах, ошибках и уязвимостях, утечках данных, Bug Bounty, пентестах.
Mobile AppSec World — новости из мира безопасности мобильных приложений, интересные статьи, обзоры инструментов, доклады, митапы, есть русскоязычный чат.
Кавычка — о практической безопасности, уязвимостях и атаках на веб-приложения.
Twitter. За кем следить:
PT SWARM — площадка, где наша offensive-команда публикует свои исследования и рассказывает об обнаруженных Positive Technologies уязвимостях. Также есть англоязычный блог и telegram-канал.
LiveOverflow (также есть блог на YouTube)
Sergey Toshin — хакер #1 в программе вознаграждений Google за поиск уязвимостей в приложениях Play Store (Google Play Security Rewards Program) и наш бывший коллега.
Куда ходить и где найти единомышленников:
группы по DEFCON — встречи для тех, кому интересны web security, mobile security, exploit development, penetration test, а также другие темы, связанные с ИТ- безопасностью. Проходят в Москве, Санкт-Петербурге, Нижнем Новгороде и других городах, где есть российские представительства DEFCON.
Кстати, если вы 👨🏻💻крутой пентестер или серьезно увлекаетесь тестированием на проникновение (в том числе red teaming), любите находить уязвимости (желательно критического и высокого уровня опасности) и проверять на прочность мобильные и веб-приложения из финансовой отрасли, в команде Ярослава сейчас открыта не одна, а сразу три вакансии. Подробности здесь и тут. Откликайтесь!
Вселенная GitHub:
Payloads all the things — список пейлоадов и байпасов для веб-приложений на все случаи хакерской жизни.
31 days of API Security Tips — советы по тестированию API.
MindAPI — mind map по тестированию API, бесплатная и открытая для пополнения сообществом.
О новых APT-группировках и их инструментах: как читать цифровые следы злоумышленников и что помогает быть на шаг впереди хакеров
Денис Кувшинов, руководитель отдела исследования киберугроз, PT Expert Security Center
В Positive Technologies прошел путь от специалиста отдела мониторинга информационной безопасности до руководителя группы исследования угроз ИБ в экспертном центре безопасности (PT Expert Security Center). Ключевые задачи его отдела — поиск новых APT-группировок (участвовал в обнаружении групп TaskMasters, SongXY, Calypso и ChamelGang) и отслеживание активности уже известных групп киберпреступников, таких как Winnti, APT31, TA428.Еще Денис занимается анализом вредоносного ПО и поставкой экспертизы в виде индикаторов в продукты Positive Technologies, например PT Network Attack Discovery.
Подборка того, что Денис читает сам и советует другим исследователям, — ниже. Берите на заметку!
Блоги по безопасности:
Держим руку на пульсе — читаем новости:
Где черпаем сведения о хакерских группировках и вредоносном ПО:
Энциклопедия APT-группировок от специалистов PT Expert Security Center.
Who's who of cyber threat actors от FireEye.
Список APT-групп от MITRE ATT&CK.
Известное вредоносное ПО, применяемое хакерами в атаках, более 580 наименований (тоже от MITRE ATT&CK).
Хакерские группировки в карточках от ThaiCERT.
Unit 42 Playbook — много полезной информации по зловредам и программам-вымогателям.
Хроника целевых кибератак от «Лаборатории Касперского».
Узнаем больше о техниках, которые используют злоумышленники:
О хакерском ремесле под другим углом, зловредном коде и методах обнаружения малварей
Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО, PT Expert Security Center
Руководит отделом, отвечающим за экспертную составляющую продуктов компании, в частности, покрытие релевантного вредоносного ПО статическими и динамическими правилами обнаружения в PT Sandbox. Помимо этого, его команда оказывает сервисные услуги по экспертной поддержке продуктов — ребята анализируют образцы зловредов и проводят ретроспективный анализ событий. Знает всё о сетевых песочницах и трендах их развитиях в ближайшие годы, а также техниках сокрытия вредоносов и подходах, которые используют злоумышленники. Регулярно выступает на конференциях и форумах по ИБ, включая PHDays, AVAR и Nullcon. Ранее в Positive Technologies занимался отслеживанием и анализом действий APT-группировок.
Вот его подборка полезных ресурсов.
Совет редакции: эффект будет сильнее, если применять ее вместе с рекомендациями Дениса. И приготовьтесь — будет много серьезного чтива 🙂.
Литература:
Timo Steffens. Attribution of Advanced Persistent Threats
Денис Юричев. Reverse Engineering для начинающих — это не только учебник по реверс-инжинирингу, но и отличный учебник по основам программирования, который подойдет как для изучения глубин C++ и Java, так и для лучшего понимания того, как работает компьютер. Книга выложена в открытый доступ.
Katja Hahn. Robust Static Analysis of Portable Executable Malware
Крис Касперски. Искусство дизассемблирования — в книге объяснены способы идентификации конструкций языков высокого уровня таких, как С/C++ и Pascal, показаны различные подходы к реконструкции алгоритмов. Приводится обзор популярных хакерских инструментов для Windows, UNIX и Linux–отладчиков, дизассемблеров, шестнадцатеричных редакторов, API- и RPC-шпионов, эмуляторов. Книгу можно найти в интернете.
Chris Eagle. The IDA Pro Book
Michael Sikorski, Andrew Honig. Practical Malware Analysis — рассматриваются безопасная виртуальная среда для анализа вредоносных программ, быстрое извлечение сетевых подписей и индикаторов на основе хоста, ключевые инструменты анализа, такие как IDA Pro, OllyDbg и WinDbg, а также уловки вредоносных программ и многое другое.
Bruce Dang, Alexandre Gazet, Elias Bachaalany. Practical Reverse Engineering
Pavel Yosifovich, Mark E. Russinovich, David A. Solomon, Alex Ionescu. Windows Internals — это серия книг, посвященных внутреннему устройству и алгоритмам работы основных компонентов операционной системы Microsoft Windows — Windows Server 2008 R2 и Windows 7 — и файловой системы NTFS. В них детально рассмотрены системные механизмы: диспетчеризация ловушек и прерываний, DPC, АРС, LPC, КРС, синхронизация, системные рабочие потоки, глобальные флаги и др. Можно прочитать как в оригинале, так и в переводе.
Michael Sutton, Adam Greene, Pedram Amini. Fuzzing: Brute Force Vulnerability Discovery
Mario Hewardt, Daniel Pravat. Advanced Windows Debugging
0xAX. Linux insides
Michael Graves. Digital Archaeology: The Art and Science of Digital Forensics
Gerard Johansen. Digital Forensics and Incident Response
Oleg Skulkin, Scar de Courcier. Windows Forensics Cookbook
Michael Hale Ligh. The Art of Memory Forensics — более 900 страниц посвящены исследованию оперативной памяти компьютеров. Будет интересна тем, кто увлекается компьютерной криминалистикой.
Список книг, которые, по мнению Алексея, следует изучить каждому, кто истинно предан анализу вредоносов и реверсингу, получился очень обширным, но на полноценную заметку must read не претендует. Если есть материал, который хорошо дополняет этот список или помог лично вам разобраться в похожей теме — милости просим в комментарии. Рекомендуйте то, что пригодилось вам в работе!
Что еще почитать:
SecurityLab — портал по безопасности, где ежедневно публикуются новости, статьи, обзоры уязвимостей и вирусов, а также мнения аналитиков.
PT ESC Threat Intelligence — отчеты PT Expert Security Center об актуальных киберугрозах, новых образцах ВПО, активности APT-группировок, хакерских техниках и инструментах, а также расследованных инцидентах.
Хакер — безопасность, разработка, DevOps.
Комплексная разведка угроз от Cisco Talos Intelligence Group.
Блог по исследованию угроз от FireEye — есть обзоры и анализ вредоносных программ и TTP.
Corelan Cybersecurity Research — статьи по offensive security, исследования и обучение.
FuzzySecurity — много туториалов.
Project Zero — новости и обновления команды Project Zero, Google.
С чем следует ознакомиться особенно внимательно:
Алмазный фонд «Хакера». Важные материалы по взлому за последние несколько лет — на первый взгляд может показаться, что статья устаревшая. Но это не так 🙂 — материал по-прежнему современный, своего рода классика.
Using IDAPython to Make Your Life Easier: Part 1 — обучающего материала по IDAPython очень мало. Чтобы это исправить, автор статьи делится интересными примерами кода, который пишем сам. В первой части цикла разбирается скрипт для предотвращения нескольких случаев запутывания строк, обнаруженных в образце вредоносного ПО.
Избранное: ссылки по reverse engineering — подборка материалов по теме RE хороша для старта. В конце есть ссылки на виртуальные машины и онлайн-ресурсы, позволяющие попрактиковаться.
Twitter. За кем следить:
Telegram-каналы и чаты:
Malware Research — комьюнити аналитиков вредоносного ПО.
r0 Crew — пишут о реверс-инжиниринге, исследовании вредоносного ПО, разработке эксплойтов и пентестах, также есть чат.
DCG#7812 DEFCON-RUSSIA — обсуждение встреч DEFCON в России, технические вопросы и нормальное общение.
Не забудьте поделиться нашей подборкой с коллегами и теми, кому она может быть интересна! А на этом пока все :). До встречи, друзья!
