🍯 ADTrapper — инструмент для обнаружения атак в Active Directory с помощью honeypot-аккаунтов

ADTrapper — open source-инструмент для обнаружения атак внутри инфраструктуры Microsoft Active Directory. Он создаёт honeypot-объекты и ловушки в AD, которые позволяют выявлять злоумышленников во время разведки, lateral movement и попыток повышения привилегий.

Идея инструмента проста: создать в каталоге приманки, которые выглядят как реальные учётные записи или ресурсы. Любая попытка взаимодействия с такими объектами практически всегда означает подозрительную активность.

🪧 Основные возможности ADTrapper
▶️ Honeypot-учётные записи — создание ловушек в Active Directory для обнаружения злоумышленников.
▶️ Обнаружение reconnaissance-активности — выявляет попытки сканирования и enumeration AD.
▶️ Отслеживание lateral movement — реагирует на попытки использования trap-учёток.
▶️ Интеграция с логированием — события можно отправлять в SIEM или системы мониторинга.
▶️ Минимальное влияние на инфраструктуру — ловушки не мешают работе пользователей.

🕸 Как работает ADTrapper
ADTrapper разворачивает специальные honeypot-объекты внутри Active Directory:
⏺️фальшивые сервисные аккаунты
⏺️приманки-администраторы
⏺️ложные ресурсы или группы

Когда злоумышленник выполняет разведку например через:
⏺️BloodHound
⏺️LDAP enumeration
⏺️AD reconnaissance
он может обнаружить эти объекты.

Любое взаимодействие с ними генерирует событие безопасности, которое можно использовать для обнаружения атаки.

💻 Базовый сценарий использования
Клонирование репозитория

git clone https://github.com/MHaggis/ADTrapper.git
cd ADTrapper
cp env.example .env

Запуск инструмента

./deploy.sh

docker-compose up -d
docker-compose exec -T database psql -U postgres < supabase/migrations/0001_simple_setup.sql

После запуска веб-сервис будет доступен по адресу http://localhost:3000

#activedirectory #blueteam #defense #honeypot #security #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🌐 MESH — P2P-сеть для удалённой криминалистика Android в любой точке мира

MESH — это open source-инструмент для удалённой форензики мобильных устройств и сетевого мониторинга через зашифрованную peer-to-peer сеть. Он позволяет анализировать устройства (Android / iOS), даже если к ним нет прямого доступа.

🧠 Идея инструмента
Вместо VPN и централизованных серверов используется overlay mesh-сеть:
▶️устройства выглядят как будто находятся в одной локальной сети
▶️соединение строится напрямую между узлами
▶️нет единой точки отказа

В основе — модифицированный протокол Tailscale с self-hosted control plane и разделением управления и трафика.

🧿Основные возможности
📉 P2P форензика — анализ устройств через прямые соединения без проброса портов
📉 End-to-end шифрование — WireGuard / AmneziaWG с автоматическим управлением ключами
📉 Обход DPI и цензуры — обфускация трафика + fallback на HTTPS-реле
📉 CGNAT bypass — устройства получают виртуальные адреса и работают как в одной сети
📉 Интеграция с инструментами — MVT, AndroidQF, ADB, libimobiledevice
📉 Kill-switch — изоляция устройства во время анализа
🖱 Ephemeral-сети* — быстрое создание и уничтожение forensic-сессий

*Ephemeral-сети — это временные сети, которые создаются под конкретную задачу

☁️ Как работает MESH

MESH создаёт распределённую сеть из трёх компонентов:

⏺️ Control plane — координация узлов и обмен ключами
⏺️ Analyst node — машина исследователя
⏺️ Endpoint — целевое устройство (Android/iOS)

При этом:
➡️ трафик идёт напрямую между узлами
➡️ control plane не участвует в передаче данных
➡️ при блокировке UDP используется HTTPS relay

Это позволяет:
➡️ обходить NAT
➡️ скрывать активность от DPI
➡️ работать в цензурированных средах

🧾 Базовый сценарий использования

1️⃣ Клонирование репозитория

git clone https://github.com/BARGHEST-ngo/MESH.git
cd mesh/control-plane

2️⃣ Запуск control plane

docker-compose up -d

3️⃣ Доступ к веб-интерфейсу
https://localhost:3000/login

4️⃣ Создание API-ключа

docker exec headscale headscale apikeys create --expiration 90d

После этого можно подключать устройства и начинать форензику.

#mesh #p2p #forensics #mobile #privacy #security #blueteam #dfir #threatintel

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

AiSOC — AI-платформа для автоматизации SOC и threat hunting

AiSOC — open-source инструмент, который использует LLM для помощи аналитикам SOC, threat hunters и incident responders.Позволяет анализировать логи, события безопасности, IOC, правила детекта и ускорять расследование инцидентов с помощью AI.

Основные возможности
📉 AI-анализ security событий и логов
📉 Поиск IOC, TTP и аномалий
📉 Генерация гипотез для threat hunting
📉 Анализ SIEM алертов и telemetry
📉 Генерация Sigma/YARA detection rules
📉 Помощь при incident response
🖱 Интеграция с SOC workflow

🛡 Примеры использования
One-click установка

# Linux + macOS (one-liner):
curl -fsSL https://raw.githubusercontent.com/beenuar/AiSOC/main/install.sh | bash

# Windows (PowerShell as Administrator):
iwr -useb https://raw.githubusercontent.com/beenuar/AiSOC/main/install.ps1 | iex

Локальный demo запуск (Docker):

git clone https://github.com/beenuar/AiSOC.git && cd AiSOC && pnpm aisoc:demo

Типичные сценарии
▶️ Анализ подозрительных логов
▶️ Разбор SIEM алертов
▶️ Threat hunting с помощью AI
▶️ Генерация detection rules
▶️ Анализ IOC и TTP

👉 Deploy на Fly io

git clone https://github.com/beenuar/AiSOC.git && cd AiSOC
./infra/fly/fly-demo-deploy.sh --provision

#soc #threathunting #incidentresponse #ai #llm #siem #blueteam #dfir #cybersecurity #opensource

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Watcher — мониторинг изменений веб-ресурсов для OSINT и Threat Intelligence

Watcher — open-source инструмент от Thales CERT для автоматического отслеживания изменений на сайтах, документах, RSS-лентах и других источниках. Он помогает находить новые IOC, изменённые advisories, утечки и другие артефакты для OSINT, Threat Intelligence и DFIR.

Основные возможности
↗️ Мониторинг изменений веб-страниц и документов
↗️ Поддержка сайтов, RSS, PDF и других источников
↗️ Поиск новых IOC, доменов, IP и артефактов
↗️ Уведомления о найденных изменениях
↗️ История изменений и diff-анализ
↗️ Удобный web-интерфейс для расследований

Примеры использования
0️⃣ Инициализация окружения:

git clone https://github.com/thalesgroup-cert/watcher.git
cd watcher/deployment
make init

1️⃣ Запуск платформы:

make up

2️⃣ Первичная настройка базы:

make migrate
make superuser
make populate-db

3️⃣ После запуска web-интерфейс будет доступен по адресу:

http://localhost:9002

Watcher умеет:
🔎 Следить за множеством источников одновременно
HTML-страницы, PDF-документы, RSS/Atom-ленты, API endpoints и другие web-ресурсы.
💻 Автоматически извлекать и индексировать контент
Каждый собранный артефакт сохраняется в базе и становится доступен для поиска, фильтрации и анализа.
🕸 Хранить историю изменений
Watcher сохраняет предыдущие версии контента и показывает diff между изменениями, что удобно для расследований.
🎯 Организовывать мониторинг пакетами (batches)
Источники можно группировать по кампаниям, threat actors, вендорам или направлениям расследования.
🎇 Работает в фоне 24/7
После развёртывания Watcher самостоятельно собирает, индексирует и обновляет данные без ручного вмешательства.

#osint #threatintel #dfir #threathunting #blueteam #monitoring #cybersecurity #infosec #opensource

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером