Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?

Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает ????

Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Ну что ж, не будем томить и сразу передадим слово ребятам.

Про «белых хакеров», offensive security, веб-безопасность и не только

Ярослав Бабин, руководитель отдела анализа защищенности приложений, PT SWARM (@ptswarm)

В Positive Technologies занимается аудитом финансовых и веб-приложений, а также взломом анализом защищенности банкоматов (АТМ) и OSINT.  Специализируется на изучении методов социальной инженерии, знает все о проблемах и уязвимостях онлайн-банков. Отмечен в залах славы Adobe, Яндекс, Mail.Ru и других известных компаний как ведущий исследователь.  Один из организаторов кибербитвы The Standoff и форума по практической безопасности Positive Hack Days. В прошлом — багхантер в Яндекс, Mail.Ru, Mozilla и участник CTF-команды Antichat.

Николай Анисеня, руководитель группы исследований безопасности мобильных приложений, PT SWARM (@ptswarm)

В компании занимается аудитом мобильных приложений для OC Android, iOS, а также анализом защищенности веб-приложений (в том числе банковских) и систем ДБО. Опытный исследователь, отмечен в залах славы Google, Microsoft, Яндекс, Instagram, Valve, Reddit, Evernote и других мировых компаний. Участвует в подготовке ежегодного форума PHDays. В прошлом — участник CTF в составе команды SiBears.

Отдел анализа защищенности приложений во главе с Ярославом поделился вот такой подборкой полезных материалов. ????Сохраняйте в закладки, чтобы не потерять.

Форумы и блоги:

  • The SQL Injection Knowledge Base — техники эксплуатации SQL-инъекций и методов обходов WAF.

  • RDot — почти все, что сейчас появляется в мире ИБ, уже когда-то публиковалось на этом форуме.

  • ANTICHAT — комьюнити по безопасности, где обсуждают мировые новости, уязвимости, пентест и много чего еще.

  • CTF.Antichat — сборник задач от участников форума ANTICHAT.

  • WebSec — самые последние новости о веб-уязвимостях.

  • Reverse Engineering — сообщество, посвященное нюансам обратной разработки.

  • CTF TIME — ресурс, где можно узнать практически все о CTF, публикуют анонсы соревнований по практической безопасности, многие из которых открытые и проходят онлайн. После выкладывают разборы заданий, что помогает в обучении.

Что слушать полезного. Подкасты:

  • The Privacy, Security, and OSINT Show — еженедельный подкаст про разведку на основе открытых источников. Слушая его, можно узнать что-то интересное и подтянуть английский.

  • Hack me, если сможешь — подкаст о практической безопасности с самыми интересными выступлениями с форумов Positive Hack Days.  Рассказывают о современных киберугрозах и защите от них. Уже доступны более 30 выпусков.

  • Мимокрокодил — подкаст про информационную безопасность.

Что читать:

  • Dafydd Stuttard. Marcus Pinto. The Web Application. Hacker's Handbook — на 900 страницах рассматриваются методы удаленного управления, HTML5, кросс-доменные коммуникации, кликджекинг, framebusting (проверка открытых страниц iframe с помощью Javascript), атака на веб-приложения HTTP Parameter Pollution, гибридная атака по словарю и многое другое. Книга на сегодняшний день не самая актуальная, но крайне полезная.

Практика, практика и еще раз практика! Курсы и лабы:

  • Hacker101 — бесплатный кус по веб-безопасности. Много видеоуроков, руководств и других материалов по взлому. Подойдет тем, кто интересуется или уже участвует в программах Bug Bounty.

  • WebSecurityAcademy — бесплатный онлайн-курс по веб-безопасности от создателей Burp Suite.

  • PEN-200 — официальный сертификационный курс OSCP, знакомит с инструментами и методами тестирования на проникновение на практике.

  • Hack The Box — масштабная онлайн-обучающая платформа по кибербезопасности, позволяющая улучшить навыки взлома. На ней практикуются специалисты со всего мира, компании и университеты.

  • Root Me — быстрая, доступная и реалистичная платформа для проверки навыков взлома, много заданий различной степени сложности.

Руководства по тестированию и базы знаний:

  • OWASP Mobile Security Testing Guide — тестинг гайд от OWASP по мобильным приложениям.

  • OWASP Web Security Testing Guide — тестинг гайд от OWASP по веб-приложениям.

  • HowToHunt — туториал и рекомендации по поиску уязвимостей.

  • Pentest Book — полезная база знаний по пентесту, сценариям проникновения и многом другом.

  • HackTricks — база знаний CTF-игрока, где он делится хакерскими приемами, техниками и всем, что узнал на CTF, а также последними исследованиями и новостями.

Telegram-каналы и чаты:

  • Android Guards — русскоязычное сообщество по безопасности Android-устройств и приложений.  Его основатель, автор статей и ведущий стримов Артем Кулаков — теперь в нашей команде. Кстати, у него также есть YouTube-канал — подписывайтесь!

  • Hack3rScr0lls — ведется хакерами для хакеров, есть много красивых схем по тестированию различных сфер безопасности.

  • The Bug Bounty Hunter — все о Bug Bounty.

  • Android Security & Malware — новости ИБ с уклоном в мобильные устройства, пишут о зловредах, ошибках и уязвимостях, утечках данных, Bug Bounty, пентестах.

  • Mobile AppSec World — новости из мира безопасности мобильных приложений, интересные статьи, обзоры инструментов, доклады, митапы, есть русскоязычный чат.

  • Кавычка — о практической безопасности, уязвимостях и атаках на веб-приложения.

Twitter. За кем следить:

Куда ходить и где найти единомышленников:

  • группы по DEFCON — встречи для тех, кому интересны web security, mobile security, exploit development, penetration test, а также другие темы, связанные с ИТ- безопасностью. Проходят в Москве, Санкт-Петербурге, Нижнем Новгороде и других городах, где есть российские представительства DEFCON.

  • 2600

Кстати, если вы ????????‍????крутой пентестер или серьезно увлекаетесь тестированием на проникновение (в том числе red teaming), любите находить уязвимости (желательно критического и высокого уровня опасности) и проверять на прочность мобильные и веб-приложения из финансовой отрасли, в команде Ярослава сейчас открыта не одна, а сразу три вакансии. Подробности здесь и тут. Откликайтесь!

Вселенная GitHub:

  • All about Bug Bounty

  • Payloads all the things — список пейлоадов и байпасов для веб-приложений на все случаи хакерской жизни.

  • 31 days of API Security Tips — советы по тестированию API.

  • MindAPI — mind map по тестированию API, бесплатная и открытая для пополнения сообществом.

О новых APT-группировках и их инструментах: как читать цифровые следы злоумышленников и что помогает быть на шаг впереди хакеров

Денис Кувшинов, руководитель отдела исследования киберугроз, PT Expert Security Center

В Positive Technologies прошел путь от специалиста отдела мониторинга информационной безопасности до руководителя группы исследования угроз ИБ в экспертном центре безопасности (PT Expert Security Center).  Ключевые задачи его отдела — поиск новых APT-группировок (участвовал в обнаружении групп TaskMasters, SongXY, Calypso и ChamelGang) и отслеживание активности уже известных групп киберпреступников, таких как Winnti, APT31, TA428.Еще Денис занимается анализом вредоносного ПО и поставкой экспертизы в виде индикаторов в продукты Positive Technologies, например PT Network Attack Discovery.

Подборка того, что Денис читает сам и советует другим исследователям, — ниже.  Берите на заметку!

Блоги по безопасности:

 Держим руку на пульсе — читаем новости:

Где черпаем сведения о хакерских группировках и вредоносном ПО:

Узнаем больше о техниках, которые используют злоумышленники:

О хакерском ремесле под другим углом, зловредном коде и методах обнаружения малварей

Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО, PT Expert Security Center

Руководит отделом, отвечающим за экспертную составляющую продуктов компании, в частности, покрытие релевантного вредоносного ПО статическими и динамическими правилами обнаружения в PT Sandbox.  Помимо этого, его команда оказывает сервисные услуги по экспертной поддержке продуктов — ребята анализируют образцы зловредов и проводят ретроспективный анализ событий. Знает всё о сетевых песочницах и трендах их развитиях в ближайшие годы, а также техниках сокрытия вредоносов и подходах, которые используют злоумышленники. Регулярно выступает на конференциях и форумах по ИБ, включая PHDays, AVAR и Nullcon. Ранее в Positive Technologies занимался отслеживанием и анализом действий APT-группировок.

Вот его подборка полезных ресурсов.

Совет редакции: эффект будет сильнее, если применять ее вместе с рекомендациями Дениса. И приготовьтесь — будет много серьезного чтива ????.

Литература:

  • Timo Steffens. Attribution of Advanced Persistent Threats

  • Денис Юричев. Reverse Engineering для начинающих — это не только учебник по реверс-инжинирингу, но и отличный учебник по основам программирования, который подойдет как для изучения глубин C++ и Java, так и для лучшего понимания того, как работает компьютер. Книга выложена в открытый доступ.

  • Katja Hahn. Robust Static Analysis of Portable Executable Malware

  • Крис Касперски.  Искусство дизассемблирования — в книге объяснены способы идентификации конструкций языков высокого уровня таких, как С/C++ и Pascal, показаны различные подходы к реконструкции алгоритмов. Приводится обзор популярных хакерских инструментов для Windows, UNIX и Linux–отладчиков, дизассемблеров, шестнадцатеричных редакторов, API- и RPC-шпионов, эмуляторов. Книгу можно найти в интернете.

  • Chris Eagle. The IDA Pro Book

  • Michael Sikorski, Andrew Honig. Practical Malware Analysis — рассматриваются безопасная виртуальная среда для анализа вредоносных программ, быстрое извлечение сетевых подписей и индикаторов на основе хоста, ключевые инструменты анализа, такие как IDA Pro, OllyDbg и WinDbg, а также уловки вредоносных программ и многое другое.

  • Bruce Dang, Alexandre Gazet, Elias Bachaalany. Practical Reverse Engineering

  • Pavel Yosifovich, Mark E. Russinovich, David A. Solomon, Alex Ionescu. Windows Internals — это серия книг, посвященных внутреннему устройству и алгоритмам работы основных компонентов операционной системы Microsoft Windows — Windows Server 2008 R2 и Windows 7 — и файловой системы NTFS. В них детально рассмотрены системные механизмы: диспетчеризация ловушек и прерываний, DPC, АРС, LPC, КРС, синхронизация, системные рабочие потоки, глобальные флаги и др. Можно прочитать как в оригинале, так и в переводе.

  • Michael Sutton, Adam Greene, Pedram Amini. Fuzzing: Brute Force Vulnerability Discovery

  • Mario Hewardt, Daniel Pravat. Advanced Windows Debugging

  • 0xAX. Linux insides

  • Michael Graves. Digital Archaeology: The Art and Science of Digital Forensics

  • Gerard Johansen. Digital Forensics and Incident Response

  • Oleg Skulkin, Scar de Courcier. Windows Forensics Cookbook

  • Michael Hale Ligh. The Art of Memory Forensics — более 900 страниц посвящены исследованию оперативной памяти компьютеров. Будет интересна тем, кто увлекается компьютерной криминалистикой.

Список книг, которые, по мнению Алексея, следует изучить каждому, кто истинно предан анализу вредоносов и реверсингу, получился очень обширным, но на полноценную заметку must read не претендует.  Если есть материал, который хорошо дополняет этот список или помог лично вам разобраться в похожей теме — милости просим в комментарии. Рекомендуйте то, что пригодилось вам в работе!

Что еще почитать:

С чем следует ознакомиться особенно внимательно:

Twitter. За кем следить:

Telegram-каналы и чаты:

  • Malware Research — комьюнити аналитиков вредоносного ПО.

  • r0 Crew — пишут о реверс-инжиниринге, исследовании вредоносного ПО, разработке эксплойтов и пентестах, также есть чат.

  • DCG#7812 DEFCON-RUSSIA — обсуждение встреч DEFCON в России, технические вопросы и нормальное общение.


Не забудьте поделиться нашей подборкой с коллегами и теми, кому она может быть интересна! А на этом пока все :). До встречи, друзья!

 

Комментарии (2)


  1. Rosich70
    24.09.2021 11:38
    +1

    Действительно полезно!