Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фундаментальные штуки? На каких площадках можно прокачать скилы, например, в пентесте или обнаружении зловредов, да еще и бесплатно?

Сдаем все явки и пароли: делимся полезными ссылками на курсы и лабы, книги и подкасты, Telegram- и YouTube-каналы, форумы и блоги, которые наши крутые эксперты читают сами и рекомендуют тем, кто хочет держать руку на пульсе кибербеза и постоянно повышать свою ценность как профессионала. А может, наши подборки пригодятся вам при подготовке к собеседованию и помогут получить более высокую должность — кто знает ????

Сегодня предлагаем погрузиться в тестирование на проникновение и проверку приложений на прочность, обнаружение и реверс вредоносных программ, киберразведку и расследование сложных инцидентов. Рассказываем, в какие методички заглядывают «белые шляпы», что помогает выйти на след APT-группировок и раскрутить цепочки хакерских атак, где первыми узнавать о новых подходах и техниках, используемых злоумышленниками. Ну что ж, не будем томить и сразу передадим слово ребятам.

Про «белых хакеров», offensive security, веб-безопасность и не только

Ярослав Бабин, руководитель отдела анализа защищенности приложений, PT SWARM (@ptswarm)

В Positive Technologies занимается аудитом финансовых и веб-приложений, а также взломом анализом защищенности банкоматов (АТМ) и OSINT.  Специализируется на изучении методов социальной инженерии, знает все о проблемах и уязвимостях онлайн-банков. Отмечен в залах славы Adobe, Яндекс, Mail.Ru и других известных компаний как ведущий исследователь.  Один из организаторов кибербитвы The Standoff и форума по практической безопасности Positive Hack Days. В прошлом — багхантер в Яндекс, Mail.Ru, Mozilla и участник CTF-команды Antichat.

Николай Анисеня, руководитель группы исследований безопасности мобильных приложений, PT SWARM (@ptswarm)

В компании занимается аудитом мобильных приложений для OC Android, iOS, а также анализом защищенности веб-приложений (в том числе банковских) и систем ДБО. Опытный исследователь, отмечен в залах славы Google, Microsoft, Яндекс, Instagram, Valve, Reddit, Evernote и других мировых компаний. Участвует в подготовке ежегодного форума PHDays. В прошлом — участник CTF в составе команды SiBears.

Отдел анализа защищенности приложений во главе с Ярославом поделился вот такой подборкой полезных материалов. ????Сохраняйте в закладки, чтобы не потерять.

Форумы и блоги:

• The SQL Injection Knowledge Base — техники эксплуатации SQL-инъекций и методов обходов WAF.

• RDot — почти все, что сейчас появляется в мире ИБ, уже когда-то публиковалось на этом форуме.

• ANTICHAT — комьюнити по безопасности, где обсуждают мировые новости, уязвимости, пентест и много чего еще.

• CTF.Antichat — сборник задач от участников форума ANTICHAT.

• WebSec — самые последние новости о веб-уязвимостях.

• Reverse Engineering — сообщество, посвященное нюансам обратной разработки.

• CTF TIME — ресурс, где можно узнать практически все о CTF, публикуют анонсы соревнований по практической безопасности, многие из которых открытые и проходят онлайн. После выкладывают разборы заданий, что помогает в обучении.

Что слушать полезного. Подкасты:

• The Privacy, Security, and OSINT Show — еженедельный подкаст про разведку на основе открытых источников. Слушая его, можно узнать что-то интересное и подтянуть английский.

• Hack me, если сможешь — подкаст о практической безопасности с самыми интересными выступлениями с форумов Positive Hack Days.  Рассказывают о современных киберугрозах и защите от них. Уже доступны более 30 выпусков.

• Мимокрокодил — подкаст про информационную безопасность.

Что читать:

• Dafydd Stuttard. Marcus Pinto. The Web Application. Hacker's Handbook — на 900 страницах рассматриваются методы удаленного управления, HTML5, кросс-доменные коммуникации, кликджекинг, framebusting (проверка открытых страниц iframe с помощью Javascript), атака на веб-приложения HTTP Parameter Pollution, гибридная атака по словарю и многое другое. Книга на сегодняшний день не самая актуальная, но крайне полезная.

Практика, практика и еще раз практика! Курсы и лабы:

• Hacker101 — бесплатный кус по веб-безопасности. Много видеоуроков, руководств и других материалов по взлому. Подойдет тем, кто интересуется или уже участвует в программах Bug Bounty.

• WebSecurityAcademy — бесплатный онлайн-курс по веб-безопасности от создателей Burp Suite.

• PEN-200 — официальный сертификационный курс OSCP, знакомит с инструментами и методами тестирования на проникновение на практике.

• Hack The Box — масштабная онлайн-обучающая платформа по кибербезопасности, позволяющая улучшить навыки взлома. На ней практикуются специалисты со всего мира, компании и университеты.

• Root Me — быстрая, доступная и реалистичная платформа для проверки навыков взлома, много заданий различной степени сложности.

Руководства по тестированию и базы знаний:

• OWASP Mobile Security Testing Guide — тестинг гайд от OWASP по мобильным приложениям.

• OWASP Web Security Testing Guide — тестинг гайд от OWASP по веб-приложениям.

• HowToHunt — туториал и рекомендации по поиску уязвимостей.

• Pentest Book — полезная база знаний по пентесту, сценариям проникновения и многом другом.

• HackTricks — база знаний CTF-игрока, где он делится хакерскими приемами, техниками и всем, что узнал на CTF, а также последними исследованиями и новостями.

Telegram-каналы и чаты:

• Android Guards — русскоязычное сообщество по безопасности Android-устройств и приложений.  Его основатель, автор статей и ведущий стримов Артем Кулаков — теперь в нашей команде. Кстати, у него также есть YouTube-канал — подписывайтесь!

• Hack3rScr0lls — ведется хакерами для хакеров, есть много красивых схем по тестированию различных сфер безопасности.

• The Bug Bounty Hunter — все о Bug Bounty.

• Android Security & Malware — новости ИБ с уклоном в мобильные устройства, пишут о зловредах, ошибках и уязвимостях, утечках данных, Bug Bounty, пентестах.

• Mobile AppSec World — новости из мира безопасности мобильных приложений, интересные статьи, обзоры инструментов, доклады, митапы, есть русскоязычный чат.

• Кавычка — о практической безопасности, уязвимостях и атаках на веб-приложения.

Twitter. За кем следить:

• Timur Yunusov

• James Kettle

• PT SWARM — площадка, где наша offensive-команда публикует свои исследования и рассказывает об обнаруженных Positive Technologies уязвимостях. Также есть англоязычный блог и telegram-канал.

• Nicolas Grégoire

• Orange Tsai

• LiveOverflow (также есть блог на YouTube)

• wvu

• Sergey Bobrov

• James Forshaw

• Frans Rosén

• rvrsh3ll

• Ben Hawkes

• Maxim Goryachy

• Michael Stepankin

• Sergey Toshin — хакер #1 в программе вознаграждений Google за поиск уязвимостей в приложениях Play Store (Google Play Security Rewards Program) и наш бывший коллега.

Куда ходить и где найти единомышленников:

• группы по DEFCON — встречи для тех, кому интересны web security, mobile security, exploit development, penetration test, а также другие темы, связанные с ИТ- безопасностью. Проходят в Москве, Санкт-Петербурге, Нижнем Новгороде и других городах, где есть российские представительства DEFCON.

• 2600

Кстати, если вы ????????‍????крутой пентестер или серьезно увлекаетесь тестированием на проникновение (в том числе red teaming), любите находить уязвимости (желательно критического и высокого уровня опасности) и проверять на прочность мобильные и веб-приложения из финансовой отрасли, в команде Ярослава сейчас открыта не одна, а сразу три вакансии. Подробности здесь и тут. Откликайтесь!

Вселенная GitHub:

• All about Bug Bounty

• Payloads all the things — список пейлоадов и байпасов для веб-приложений на все случаи хакерской жизни.

• 31 days of API Security Tips — советы по тестированию API.

• MindAPI — mind map по тестированию API, бесплатная и открытая для пополнения сообществом.

О новых APT-группировках и их инструментах: как читать цифровые следы злоумышленников и что помогает быть на шаг впереди хакеров

Денис Кувшинов, руководитель отдела исследования киберугроз, PT Expert Security Center

В Positive Technologies прошел путь от специалиста отдела мониторинга информационной безопасности до руководителя группы исследования угроз ИБ в экспертном центре безопасности (PT Expert Security Center).  Ключевые задачи его отдела — поиск новых APT-группировок (участвовал в обнаружении групп TaskMasters, SongXY, Calypso и ChamelGang) и отслеживание активности уже известных групп киберпреступников, таких как Winnti, APT31, TA428.Еще Денис занимается анализом вредоносного ПО и поставкой экспертизы в виде индикаторов в продукты Positive Technologies, например PT Network Attack Discovery.

Подборка того, что Денис читает сам и советует другим исследователям, — ниже.  Берите на заметку!

Блоги по безопасности:

• Microsoft

• ESET

• Palo Alto

• NTT Security

• Symantec

• Recorded Future

 Держим руку на пульсе — читаем новости:

• The Record

• Bleeping Computer

Где черпаем сведения о хакерских группировках и вредоносном ПО:

• Энциклопедия APT-группировок от специалистов PT Expert Security Center.

• Who's who of cyber threat actors от FireEye.

• Список APT-групп от MITRE ATT&CK.

• Известное вредоносное ПО, применяемое хакерами в атаках, более 580 наименований (тоже от MITRE ATT&CK).

• Хакерские группировки в карточках от ThaiCERT.

• Unit 42 Playbook — много полезной информации по зловредам и программам-вымогателям.

• Хроника целевых кибератак от «Лаборатории Касперского».

Узнаем больше о техниках, которые используют злоумышленники:

• MITRE ATT&CK Matrix for Enterprise

О хакерском ремесле под другим углом, зловредном коде и методах обнаружения малварей

Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО, PT Expert Security Center

Руководит отделом, отвечающим за экспертную составляющую продуктов компании, в частности, покрытие релевантного вредоносного ПО статическими и динамическими правилами обнаружения в PT Sandbox.  Помимо этого, его команда оказывает сервисные услуги по экспертной поддержке продуктов — ребята анализируют образцы зловредов и проводят ретроспективный анализ событий. Знает всё о сетевых песочницах и трендах их развитиях в ближайшие годы, а также техниках сокрытия вредоносов и подходах, которые используют злоумышленники. Регулярно выступает на конференциях и форумах по ИБ, включая PHDays, AVAR и Nullcon. Ранее в Positive Technologies занимался отслеживанием и анализом действий APT-группировок.

Вот его подборка полезных ресурсов.

Совет редакции: эффект будет сильнее, если применять ее вместе с рекомендациями Дениса. И приготовьтесь — будет много серьезного чтива ????.

Литература:

• Timo Steffens. Attribution of Advanced Persistent Threats

• Денис Юричев. Reverse Engineering для начинающих — это не только учебник по реверс-инжинирингу, но и отличный учебник по основам программирования, который подойдет как для изучения глубин C++ и Java, так и для лучшего понимания того, как работает компьютер. Книга выложена в открытый доступ.

• Katja Hahn. Robust Static Analysis of Portable Executable Malware

• Крис Касперски.  Искусство дизассемблирования — в книге объяснены способы идентификации конструкций языков высокого уровня таких, как С/C++ и Pascal, показаны различные подходы к реконструкции алгоритмов. Приводится обзор популярных хакерских инструментов для Windows, UNIX и Linux–отладчиков, дизассемблеров, шестнадцатеричных редакторов, API- и RPC-шпионов, эмуляторов. Книгу можно найти в интернете.

• Chris Eagle. The IDA Pro Book

• Michael Sikorski, Andrew Honig. Practical Malware Analysis — рассматриваются безопасная виртуальная среда для анализа вредоносных программ, быстрое извлечение сетевых подписей и индикаторов на основе хоста, ключевые инструменты анализа, такие как IDA Pro, OllyDbg и WinDbg, а также уловки вредоносных программ и многое другое.

• Bruce Dang, Alexandre Gazet, Elias Bachaalany. Practical Reverse Engineering

• Pavel Yosifovich, Mark E. Russinovich, David A. Solomon, Alex Ionescu. Windows Internals — это серия книг, посвященных внутреннему устройству и алгоритмам работы основных компонентов операционной системы Microsoft Windows — Windows Server 2008 R2 и Windows 7 — и файловой системы NTFS. В них детально рассмотрены системные механизмы: диспетчеризация ловушек и прерываний, DPC, АРС, LPC, КРС, синхронизация, системные рабочие потоки, глобальные флаги и др. Можно прочитать как в оригинале, так и в переводе.

• Michael Sutton, Adam Greene, Pedram Amini. Fuzzing: Brute Force Vulnerability Discovery

• Mario Hewardt, Daniel Pravat. Advanced Windows Debugging

• 0xAX. Linux insides

• Michael Graves. Digital Archaeology: The Art and Science of Digital Forensics

• Gerard Johansen. Digital Forensics and Incident Response

• Oleg Skulkin, Scar de Courcier. Windows Forensics Cookbook

• Michael Hale Ligh. The Art of Memory Forensics — более 900 страниц посвящены исследованию оперативной памяти компьютеров. Будет интересна тем, кто увлекается компьютерной криминалистикой.

Список книг, которые, по мнению Алексея, следует изучить каждому, кто истинно предан анализу вредоносов и реверсингу, получился очень обширным, но на полноценную заметку must read не претендует.  Если есть материал, который хорошо дополняет этот список или помог лично вам разобраться в похожей теме — милости просим в комментарии. Рекомендуйте то, что пригодилось вам в работе!

Что еще почитать:

• SecurityLab — портал по безопасности, где ежедневно публикуются новости, статьи, обзоры уязвимостей и вирусов, а также мнения аналитиков.

• PT ESC Threat Intelligence — отчеты PT Expert Security Center об актуальных киберугрозах, новых образцах ВПО, активности APT-группировок, хакерских техниках и инструментах, а также расследованных инцидентах.  

• Хакер — безопасность, разработка, DevOps.

• Securelist

• McAfee blog

• Proofpoint blog

• SecureWorks

• Комплексная разведка угроз от Cisco Talos Intelligence Group.

• Блог по исследованию угроз от FireEye — есть обзоры и анализ вредоносных программ и TTP.

• Лаба киберугроз от Avast

• Corelan Cybersecurity Research — статьи по offensive security, исследования и обучение.

• FuzzySecurity — много туториалов.

• Project Zero — новости и обновления команды Project Zero, Google.

• Практические лаборатории вредоносных программ

С чем следует ознакомиться особенно внимательно:

• Алмазный фонд «Хакера». Важные материалы по взлому за последние несколько лет — на первый взгляд может показаться, что статья устаревшая. Но это не так ???? — материал по-прежнему современный, своего рода классика.

• PEB

• Using IDAPython to Make Your Life Easier: Part 1 — обучающего материала по IDAPython очень мало. Чтобы это исправить, автор статьи делится интересными примерами кода, который пишем сам. В первой части цикла разбирается скрипт для предотвращения нескольких случаев запутывания строк, обнаруженных в образце вредоносного ПО.

• Labeless Part 1: An Introduction

• Избранное: ссылки по reverse engineering — подборка материалов по теме RE хороша для старта. В конце есть ссылки на виртуальные машины и онлайн-ресурсы, позволяющие попрактиковаться.

Twitter. За кем следить:

• Florian Roth

• Costin Raiu

• PT ESC

• Alexey Vishnyakov

• Anton Cherepanov

• Boris Larin

• hasherezade

Telegram-каналы и чаты:

• Malware Research — комьюнити аналитиков вредоносного ПО.

• r0 Crew — пишут о реверс-инжиниринге, исследовании вредоносного ПО, разработке эксплойтов и пентестах, также есть чат.

• DCG#7812 DEFCON-RUSSIA — обсуждение встреч DEFCON в России, технические вопросы и нормальное общение.

Не забудьте поделиться нашей подборкой с коллегами и теми, кому она может быть интересна! А на этом пока все :). До встречи, друзья!