Ультимативный гайд по организации инфраструктуры для пентестов - тык Много интересных мыслей есть и для исследователей угроз. Но глава о CDN Relays особенно понравилась. Недавно натыкался на несколько примеров реальных атак, где злоумышленники использовали инфраструктуру Microsoft Azure в качестве командного центра. Главного загвоздка этой техники заключается в том, что домены от облачных сервисов микромягких чаще всего от греха подальше в вайтлистах и теряются в огромном потоке телеметрии, которую отправляет Windows на свои сервера. Попробуйте запустить машину хотя бы в том же самом Any.Run и посмотрите на количество улетевших данных просто потому что система запустилась😂 Тем самым всего за пару баксов аренды пэнтестеры прячут свое сетевое взаимодействие в легитимном трафике. Ниже список доменов облачных сервисов Azure, за трафиком в сторону которых стоит присматривать бдительнее: .accesscontrol.windows.net .graph.windows.net .onmicrosoft.com .azure-api.net .biztalk.windows.net .blob.core.windows.net .cloudapp.net .cloudapp.azure.com .azurecr.io .azurecontainer.io .vo.msecnd.net .cosmos.azure.com .documents.azure.com .file.core.windows.net .azurefd.net .vault.azure.net .azmk8s.io .management.core.windows.net .origin.mediaservices.windows.net .azure-mobile.net .queue.core.windows.net .servicebus.windows.net .database.windows.net .azureedge.net .table.core.windows.net .trafficmanager.net .azurewebsites.net .visualstudio.com ❤@seclemur |❤ @threat_chat