⚽️ BloodSOCer

Инструмент автоматизации на Python, который собирает данные об угрозах из нескольких источников (Mitre ATT&CK, правила Sigma, Atomic Red Team) и создает файлы JSON для загрузки в BloodHound в формате OpenGraph.

BloodSOCer также может загружать файлы в BloodHound и устанавливать значки для пользовательских объектов, если в конфигурации указаны токены API. Затем аналитики по безопасности могут визуализировать данные под любым углом. Для начала работы предлагается несколько запросов Cypher.

Идея этого проекта заключается в том, чтобы помочь SOC-отделам составить карту охвата фреймворка Mitre ATT&CK и быстро определить «слепые зоны» во время реагирования на инциденты.

Характеристики
🔵SigmaHound - загружает и обрабатывает правила Sigma;
🔵ARTHound - загружает и обрабатывает тесты Atomic Red Team (ART);
🔵Define Icons - настройка пользовательских иконок BloodHound для злоумышленников и техник;
🔵Saved Queries - импортирует встроенные Cypher-запросы в BloodHound через UL-Cyphers.py или флаг --setup;
🔵Batch Upload - загружает сгенерированные JSON-графы в BloodHound с автоматическим запуском импорта;
🔵Upload Only - для случаев, когда файлы уже есть, но нужно импортировать в новый экземпляр BloodHound или после очистки базы данных;
🔵Clear Database - сбрасывает экземпляр BloodHound через API перед новым импортом;
🔵Setup Helper - один флаг для одновременного обновления иконок и импорта; сохранённых запросов;
🔵One Playbook linked to 2 TTP - демонстрационный пример того, как выглядит привязка ваших IR-плейбуков к ATT&CK после загрузки данных;
🔵CLI Interface - простые аргументы командной строки для запуска отдельных или всех компонентов.

⚡️Установка

В apikey необходимо указать ключ API BloodHound, в apiid — идентификатор API BloodHound.

git clone https://github.com/yourusername/BloodSOCer.git
cd BloodSOCer
pip3 install -r requirements.txt
apikey = "your-api-key-here"
apiid = "your-api-id-here"

⚙️Использование
Запуск отдельных источников событий.

python3 BloodSOCer.py --mitre, -m
python3 BloodSOCer.py --sigma, -s
python3 BloodSOCer.py --art, -r

Комбинация нескольких операций.

python3 BloodSOCer.py --mitre --sigma --define-icons

Удалить все данные из базы.

python3 BloodSOCer.py --clear-db

#BloodSOCer #SOC #ThreatIntelligence #Python

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

❗️ Уязвимость в Python библиотеке для ИИ

🪧 В библиотеках Python с открытым исходным кодом для искусственного интеллекта, выпущенных Apple (FlexTok), NVIDIA (NeMo) и Salesforce (Uni2TS), обнаружены уязвимости, позволяющие удаленное выполнение кода (RCE) при загрузке файла модели со вредоносными данными.

🧾 «Уязвимости возникают из-за того, что библиотеки используют метаданные для настройки сложных моделей и конвейеров, где используемая сторонняя библиотека создает экземпляры классов, используя эти метаданные. Уязвимые версии этих библиотек просто выполняют предоставленные данные как код. Это позволяет злоумышленнику внедрить произвольный код в метаданные модели, который будет автоматически выполняться при загрузке этих модифицированных моделей уязвимыми библиотеками», — заявило подразделение 42 Palo Alto Networks

💻 Речь идет о сторонней библиотеке Hydra от Meta, а именно о функции «hydra.utils.instantiate()», которая позволяет запускать код с использованием функций Python, таких как os.system(), builtins.eval() и builtins.exec().

🔎 Уязвимости, отслеживаемые как CVE-2025-23304 (NVIDIA) и CVE-2026-22584 (Salesforce), были устранены соответствующими компаниями

❓ А вы используете эти библиотеки в работе?

#python #ai #cve #hydra

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером