Обнаружение шпионского ПО: руководство для ИБ-профессионалов

Вы уверены, что ваши данные в безопасности? Пока вы читаете этот текст, шпионское ПО может тихо сливать конфиденциальную информацию или отслеживать каждый ваш шаг в сети.

Мы подготовили для специалистов по безопасности исчерпывающее практическое руководство по борьбе со скрытой угрозой ⬇️

В статье расскажем:
💠Эволюция угрозы: от кейлоггеров до фреймворков вроде Pegasus с zero‑day уязвимостями.
💠Анатомия врага: Разберем классификацию шпионского ПО (кейлоггеры, инфостилеры, сталкервары) и изучим сложные механизмы его проникновения
💠Практическая лаборатория: методы обнаружения от IOC до анализа в контролируемой среде. Разберем реальные кейсы и инструменты
💠Стратегии защиты: многоуровневая оборона от классических решений до поведенческого анализа с ИИ. Рассмотрим «гигиену» безопасности и критическую роль обучения пользователей.
💠Этика и закон: грань между легальным анализом и нарушением законодательства, моральные дилеммы ИБ‑специалистов.

🔘Эта статья поможет не только обнаружить "шпиона", но и создать среду, где ему сложно закрепиться.

Если вы хотите углубиться в тему — читайте ➡️ полную статью и превратите свои знания в надёжный щит для данных

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

🐺 Bloody Wolf атакует СНГ!

🌎 Bloody Wolf расширяет атаки NetSupport RAT на основе Java в Кыргызстане и Узбекистане

📍 По данным исследователей Group-IB Амирбека Курбанова и Волена Кайо, с октября 2025 года активность хакеров распространилась и на Узбекистан. Атаки были направлены на финансовый сектор, государственный сектор и IT-сектор.

💻 «Эти злоумышленники выдавали себя за Министерство юстиции [Кыргызстана] с помощью официальных PDF-документов и доменных имен, на которых, в свою очередь, размещались вредоносные файлы Java Archive (JAR), предназначенные для развертывания NetSupport RAT», — сообщила Group-IB

❗️ Узбекистанский этап кампании примечателен введением ограничений по геозонированию, в результате чего запросы из-за пределов страны перенаправлялись на легитимный сайт data.egov[.]uz. Было обнаружено, что запросы из Узбекистана запускают загрузку JAR-файла по ссылке, встроенной в PDF-вложение.

↔️ Будьте внимательны!

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

Spraykatz: автоматизация сбора учетных данных в корпоративных сетях

Spraykatz — это инструмент на языке Python, созданный для автоматизации выполнения известного инструмента Mimikatz на множестве удаленных хостов. Его основная задача — удаленное извлечение хэшей паролей, билетов Kerberos и других типов учетных данных из памяти LSASS. В отличие от ручного подключения к каждому серверу, Spraykatz позволяет проводить массовые операции, используя предоставленные административные учетные данные.

🔹Выполняет автоматический удаленный сбор учетных данных путем запуска Mimikatz на целевых машинах
🔹Поддерживает различные методы аутентификации, включая работу с паролями, хэшами NTLM и билетами Kerberos
🔹Обеспечивает гибкость целеполагания через прием списка целей как из файла, так и непосредственно из командной строки
🔹Использует параллельную обработку для одновременной атаки на несколько хостов, что значительно повышает эффективность проведения проверки

1️⃣Установка

git clone https://github.com/aas-n/spraykatz.git
cd spraykatz
pip install -r requirements.txt

Проверка

spraykatz -h

2️⃣Базовое использование с паролем

python spraykatz.py -u AdminUser -p "MyPassword123" -t "192.168.1.10,192.168.1.15,192.168.1.20" -d DOMAIN

С помощью этой команды мы можем получить: учетные данные из памяти LSASS с целевых хостов, NTLM-хэши паролей пользователей, билеты Kerberos (TGT/TGS), LM-хэши (в устаревших системах) и многое другое.

3️⃣Использование для локальных учетных записей

spraykatz -u Administrator -p "LocalAdminPass" -t "10.0.0.5,10.0.0.6" -d .

🔔 Важные примечания
- Формат целей: можно использовать как файл (одна цель на строку), так и перечисление через запятую
- NTLM хэш должен быть в формате LM:NT (если LM не используется, первая часть может быть нулевой)
- Для локальных учетных записей используйте -d .
- Время ожидания по умолчанию 180 секунд, но оно может быть увеличено для больших сетей
- Флаг -r используется только для удаления артефактов, не для сбора учетных данных

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

☃️ Открытие зимнего сезона и новые задания на платформе HackerLab!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе. Не упустите шанс провести зимние дни с пользой, прокачать свои навыки и стать лучшим!

Призы:
🥇1 место — 2 месяца подписки PRO на HackerLab + 30% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥈2 место — 1 месяц подписки PRO на HackerLab + 20% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥉3 место — 1 месяц подписки PRO на HackerLab + 10% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
4-10 место — 1 месяц подписки PLUS на HackerLab + 5% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе

📆 Сезон завершается 28 февраля
——————————————
🚩 Новые задания на платформе HackerLab!

🕵️ Категория Форензика — SlackSpace

🌍 Категория Веб — Фотогалерея
——————————————

🗂 В архив добавлены задания + райтапы:

🔵Веб - Never let go
🔵Веб - B64Decoder

🚩 Желаем каждому провести зимние дни с комфортом и отличным настроением и до встречи на HackerLab!

➡️ Все наши каналы 💬 Все наши чаты

Читать полностью…

Бастион V16 — ваш личный криптограф с открытым исходным кодом

Хотите шифровать сообщения так, чтобы их не смог прочитать никто, кроме адресата?

⚡️Представляем Бастион V16 — программу для парольного шифрования с полным контролем над безопасностью.

Что умеет?
🔅Шифрует и расшифровывает текст с помощью пароля
🔅Гарантирует целостность данных через встроенный HMAC
🔅Позволяет настраивать стойкость шифрования (кол-во раундов KDF)
🔅Работает на собственном ядре SpongeV16 — кастомной криптографической губке
🔅Весь код открыт для проверки

Как это работает?
Программа превращает ваш пароль в криптографически стойкий ключ, использует случайные элементы (соль и nonce), шифрует текст и добавляет к нему цифровую подпись. Результат кодируется в Base64 и готов к безопасной пересылке.

Ключевые преимущества:
🔅Простота — интуитивный интерфейс, не требующий знаний криптографии
🔅Надёжность — защита от подбора пароля и изменения данных
🔅Гибкость — можно выбрать баланс между скоростью и безопасностью
🔅Прозрачность — исходный код доступен для изучения

Идеально для защиты личной переписки, заметок, конфиденциальных данных — и всё это под вашим полным контролем. Шифруйте с уверенностью!

🔗Скачать Бастион V16 можно по ссылке

Если вы хотите подробнее ознакомиться с Бастион V16 и начать практиковаться, полное описание работы с инструментом подготовили для вас в статье.

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

Роскомнадзор ограничивает работу FaceTime из-за угроз терроризма и мошенничества

Роскомнадзор официально подтвердил введение ограничительных мер в отношении сервиса видеосвязи FaceTime от Apple. Решение принято на основании данных правоохранительных органов.

Причины блокировки
В ведомстве заявили, что сервис используется для организации террористических действий на территории страны, вербовки исполнителей, а также совершения мошеннических и иных преступлений против граждан России. Пользователи жаловались на сбои в работе FaceTime с начала сентября, а в последнюю неделю сервис практически полностью перестал работать.

Это продолжение политики ограничений: ранее РКН уже блокировал звонки в WhatsApp* и Telegram, а также вводил меры против Roblox*, аргументируя это борьбой с мошенничеством.

Последствия
Решение лишает пользователей устройств Apple в России одного из ключевых сервисов для видеосвязи, что затронет как личное, так и деловое общение. Ситуация отражает общий тренд на усиление контроля над коммуникационными платформами в стране.

Какие альтернативы для безопасной видеосвязи вы сейчас используете или планируете использовать?⬇️

* — организация признана экстремистской и запрещена на территории РФ

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

🧬 Dopamine — мощный джейлбрейк для устройств на A12–A15 под iOS/iPadOS 15.0–16.6.1

Dopamine — современный semi-untethered джейлбрейк, который использует механизм rootless и позволяет безопасно устанавливать твики, расширения и приложения без необходимости полного взлома системы. Он работает на устройствах с чипами A12–A15 и дает стабильную среду для кастомизации без значительного вмешательства в системные компоненты.

⚡️ Основные возможности Dopamine
➡️ Поддержка устройств A12–A15 — начиная с iPhone XS, XR, 11, 12, 13 и некоторых iPad соответствующих поколений.
➡️ Совместимость с iOS/iPadOS 15.0–16.6.1 — один из самых современных jailbreak-инструментов.
➡️ Rootless-архитектура — повышенная безопасность и совместимость твиков, без полного доступа к /root.
➡️ Быстрый запуск — semi-untethered: после перезагрузки джейлбрейк активируется через приложение без компьютера.
➡️ Поддержка Sileo и Zebra — удобные менеджеры пакетов для установки расширений.
➡️ Высокая стабильность — оптимизированная работа, минимальное влияние на системные процессы.

Что нужно для запуска
😡 Поддерживаемое устройство (A12–A15)
😡 iOS/iPadOS 15.0–16.6.1
😡 Установка IPA через TrollStore, AltStore или Sideloadly
😡 Официальный файл IPA доступен в GitHub Releases

🔥 Преимущества Dopamine
⏺️ Один из самых безопасных jailbreak-инструментов благодаря rootless-подходу
⏺️ Современный дизайн приложения и удобный интерфейс
⏺️ Поддержка большинства актуальных твиков, адаптированных под rootless
⏺️ Разрабатывается и поддерживается известным разработчиком opa334, автором TrollStore

Читать полностью…

🔗 ССЫЛКИ

🧠 «Комбайны» для реверса
IDA Free
Ghidra
Binary Ninja

💻 Виртуальные машины
VirtualBox
VMware Workstation
QEMU

🔍 Анализ файлов
Detect It Easy

🔧 Hex-редакторы
ImHex
HxD
010 Editor

🌐 Анализ сетевого трафика
Wireshark

Знаете, что точно нужно добавить?
Пишите в комментариях👇

Читать полностью…

🛑 Grafana в опасности!

💠 Grafana исправляет уязвимость CVSS 10.0 SCIM, позволяющую выдавать себя за другого и повышать привилегии

🌐 Уязвимость, обозначенная как CVE-2025-41115 , имеет оценку CVSS 10,0. Она связана с компонентом системы управления междоменной идентификацией ( SCIM ), который обеспечивает автоматическую подготовку и управление пользователями.

↖️ «В Grafana версии 12.x, где включено и настроено обеспечение SCIM, уязвимость в обработке удостоверений пользователей позволяет вредоносному или скомпрометированному клиенту SCIM предоставлять пользователю числовой внешний идентификатор, что, в свою очередь, может позволить переопределить внутренние идентификаторы пользователей и привести к выдаче себя за другое лицо или повышению привилегий», — сообщил представитель из Grafana

При этом успешная эксплуатация зависит от соблюдения обоих условий:
🔺 Флаг функции enableSCIM установлен в значение true;
🔺 Параметр конфигурации user_sync_enabled в блоке [auth.scim] имеет значение true.

Указанный недостаток затрагивает версии Grafana Enterprise от 12.0.0 до 12.2.1. Он был устранен в следующих версиях программного обеспечения:

🔺 Grafana Enterprise 12.0.6+security-01
🔺 Grafana Enterprise 12.1.3+security-01
🔺 Grafana Enterprise 12.2.1+security-01
🔺 Grafana Enterprise 12.3.0

❓ А вы используете Grafana в своей инфраструктуре?

Читать полностью…

👩‍💻 palera1n — Jailbreak для устройств на базе A8–A11 и T2 на iOS/iPadOS/tvOS 15+

palera1n — инструмент для джейлбрейка современных и относительно старых устройств Apple. Он позволяет получить полный контроль над iPhone, iPad, iPod и Apple TV, обходя ограничения iOS, включая установку неподписанных приложений, твиков и кастомизации системы.

💠 Основные возможности palera1n
▶️ Поддержка устройств A8–A11 — от iPhone 6s до iPhone X, а также iPad, iPod Touch и Apple TV соответствующих поколений.
▶️ Поддержка Apple T2 — совместим с iMac, MacBook Air/Pro, Mac mini и Mac Pro с T2-чипом.
▶️ Совместимость с iOS/iPadOS/tvOS 15+ — работает на последних версиях прошивок, включая bridgeOS 5+.
▶️ Опции для DFU и recovery — инструмент помогает корректно войти в режим DFU для успешного джейлбрейка.
▶️ Документация и активное сообщество — подробные инструкции, GitHub-репозиторий и комьюнити для поддержки пользователей.

💠 Что нужно для запуска
💠 Поддерживаемое устройство Apple (iPhone, iPad, iPod, Apple TV)
💠 Кабель USB-A (USB-C может работать нестабильно)
💠 Компьютер на Linux или macOS
💠 Отключённый код-пароль (лучше предварительно сбросить телефон до заводских настроек)
💠 Инструкции и скрипты доступны на GitHub

💠 Преимущества palera1n
💠 Работа с реальными устройствами — полный доступ к системе без эмуляторов.
💠 Поддержка широкого спектра устройств Apple — от iPhone 6s до Mac с T2.
💠 Активное развитие — регулярные обновления, исправления и новые функции для джейлбрейка.

Читать полностью…

🇨🇳 ИИ атакует Китай!

⚛️ Китайские хакеры используют ИИ Anthropic для запуска автоматизированной кампании кибершпионажа

📍 «Злоумышленники использовали «агентские» возможности ИИ в беспрецедентной степени, применяя ИИ не только в качестве консультанта, но и для осуществления самих кибератак», — заявили в компании, работающей в сфере ИИ .

🧠 Кампания GTG-1002 стала первым случаем, когда злоумышленник использовал ИИ для проведения «крупномасштабной кибератаки» без значительного вмешательства человека, а также для сбора разведывательной информации путем нанесения ударов по особо важным целям, что свидетельствует о продолжающейся эволюции враждебного использования этой технологии.

⚛️ В частности, использовались инструменты Claude Code и Model Context Protocol (MCP), причем первый действовал как центральная нервная система для обработки инструкций операторов-людей и разбиения многоэтапной атаки на небольшие технические задачи, которые можно было переложить на субагентов.

🧭 Человеческое вмешательство также имело место на стратегических этапах, таких как разрешение перехода от разведки к активной эксплуатации, одобрение использования собранных учетных данных для горизонтального перемещения и принятие окончательных решений об объеме и сроках изъятия данных.

🌀 Будьте аккуратны!

Читать полностью…

AdminPBuster

AdminPBuster разработан специально для Red Teams, экспертов по наступательной безопасности и охотников за ошибками, желающих эффективно обнаруживать скрытые или замаскированные панели администратора.
AdminPBuster определяет скрытые панели администратора для любого домена, используя встроенный список слов, включающий как общие, так и неизвестные пути, эффективно обходя WAF.

📕Характеристики:
1️⃣Автоматическое обновление путей администратора с GitHub
2️⃣Корректно обходит перенаправления Cloudflare и WordPress
3️⃣Реалистичная рандомизация User-Agent с -ua
4️⃣Многопоточное сканирование (5 потоков по умолчанию, настраиваемое)
5️⃣Встроенная поддержка SSL/TLS (всегда использует HTTPS + www)

📌Установка:

git clone https://github.com/blackhatethicalhacking/AdminPBuster.git

cd AdminPanelFetcher

🚀Запуск:

python3 AdminPBuster.py -t example.com

Запуск с user-agent:

python3 AdminPBuster.py -t example.com -th 10 -ua

Читать полностью…

Делимся с вами 60 поисковиками для хакеров!

Читать полностью…

💬 РКН запускает поэтапную блокировку WhatsApp*

Роскомнадзор (РКН) подтвердил, что в отношении WhatsApp* начали вводить ограничения — сейчас идёт поэтапное ограничение функций, и мессенджер может быть полностью заблокирован, если не выполнит требования российского законодательства. Сообщается, что уже видны последствия.

❓Что уже изменилось для пользователей
➖Проблемы с отправкой текстовых сообщений, медиа — задержки, медленная загрузка, зависания.
➖С трудом проходят звонки и видеозвонки, а у некоторых пользователей они вообще недоступны.
➖Новые пользователи могут столкнуться с дополнительными ограничениями: регистрация, подтверждение номера, получение SMS/звонков — всё может работать нестабильно.

🔣 Что может быть дальше
➖ Если мессенджер не исполнит требования РКН — возможна полная блокировка.
➖ Пользователи могут быть вынуждены искать альтернативные мессенджеры — менее популярные, возможно, с другими режимами безопасности и ограничениями.
➖ Для бизнеса и тех, кто использует WhatsApp для работы, это может означать перебои в коммуникации, необходимость перехода на другие платформы.

Источник: Vedomosti
* - принадлежит Meta, признана экстремистской организацией

Читать полностью…

ТОП-10 хакерских программ: Полное руководство для начинающих и профессионалов

📑Устали от поверхностных списков «лучших хакерских программ»? Мы представляем фундаментальное руководство, которое систематизирует все знания об инструментах для пентеста.

Наша статья — не просто подборка, а структурированная энциклопедия, которая ответит на все ваши вопросы:
🔵С чего начать новичку? Минимальный набор из 5 программ, покрывающих 80% задач.
🔵Какие инструменты актуальны прямо сейчас? Детальный разбор по категориям: сканеры (Nmap, Masscan), снифферы (Wireshark), фреймворки (Metasploit) и взломщики паролей (Hashcat).
🔵Как работать безопасно и легально? Подробные правила этичного использования и настройка изолированной тестовой среды.
🔵Практика без риска: Разбор реальных кейсов по аудиту домашней сети и поиску уязвимостей в веб-приложениях.
🔵Портфель на флешке: Собираем свой портативный арсенал с готовой структурой папок.

📌Руководство также включает путеводитель по обучающим платформам (HackerLab*, TryHackMe) и сертификациям для построения карьеры.

Если вы хотите углубиться в тему и начать практиковаться, полная версия руководства ждет вас➡️ здесь

*CTF платформа для отработки навыков, обучения и сертификации в области информационной безопасности, подробнее по ссылке

Читать полностью…

APTRS — Automated Penetration Testing Reporting System

APTRS — это Python/Django-платформа для автоматизации создания отчётов по результатам тестирования на проникновение. Инструмент позволяет формировать PDF- и Excel-отчёты в один клик, полностью исключая рутинное ручное оформление. APTRS также предоставляет удобный механизм для ведения учёта уязвимостей, управления несколькими проектами и централизованного хранения результатов аудита.

🪛 Основные возможности APTRS
😡 Автоматическая генерация отчётов — формирование PDF и Excel напрямую из веб-интерфейса, без сторонних редакторов и ручного форматирования.
😡 Ведение нескольких проектов — удобная организация различных тестирований, хранение информации и разделение данных по клиентам.
😡 Готовые и настраиваемые шаблоны отчётов — единообразный стиль для всех документов + возможность расширения.
😡 Работа через Docker — быстрое разворачивание окружения без сложной установки зависимостей.
😡 Интерактивная панель управления — доступ к проектам, уязвимостям и отчётам через удобный веб-интерфейс.

⬇️ Установка и запуск

1️⃣ Установка репозитория:

git clone https://github.com/APTRS/APTRS
cd APTRS

2️⃣ Подготовка конфигурационного файла:

cp env.docker .env

При необходимости можно внести изменения:
nano .env

3️⃣ Запустите систему:

docker-compose up

После развертывания интерфейс будет доступен локально

⚡️ Преимущества APTRS
⏺️ Существенная экономия времени — отчёты формируются автоматически, что особенно важно при больших объёмах тестирования.
⏺️ Минимизация ошибок — единый шаблон и автоматизация исключают неточности и несогласованность в документах.
⏺️ Удобное управление проектами и уязвимостями — всё структурировано в одном месте.

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

Курс «Организация защиты объектов КИИ», 187-ФЗ

Защита объектов КИИ по 187-ФЗ — это не просто бюрократия. Это ваша финансовая и операционная безопасность. Потенциальный штраф за несоответствие может достигать 1 миллиона рублей.

Горы документов, требования ФСТЭК и страх проверки.Этот курс за 1,5 месяца превратит хаос требований в четкий план действий.

Вы сделаете то, что годами откладывали:
🟡Категорируете объекты КИИ по правилам ФСТЭК
🟡Разработаете полный комплект документов
🟡Наладите работу с ГосСОПКА и внедрите СЗИ
🟡Подготовитесь к инцидентам и проверкам

Результат после курса:
Портфель документов для вашего объекта КИИ
Удостоверение о повышении квалификации
Уверенность в соответствии 187-ФЗ

Для руководителей и специалистов по ИБ.
Старт — 18 декабря. Успейте записаться!

🔥Прекратите гасить «пожары». Выстройте систему.

По всем вопросам пишите 🟧@Codeby_Academy
➡️ Все наши каналы 💬Все наши чаты

Читать полностью…

Представляем вам краткую шпаргалку по LVM Linux.

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

🧑‍⚖️Роскомнадзор начал блокировать VPN протоколы SOCKS5, VLESS и L2TP через ТСПУ

Роскомнадзор обновил настройки технических средств противодействия угрозам, чтобы ужесточить борьбу с обходом блокировок через VPN. Речь идет о специальном оборудовании на сетях операторов связи в России, через которое фильтруется трафик, отражаются DDoS-атаки, блокируется доступ к запрещенным ресурсам или ограничивается скорость подключения к ним.

Роскомнадзор начал целенаправленно блокировать еще три VPN протокола SOCKS5, VLESS и L2TP. Протоколов существует десятки, без них не может работать ни один VPN сервис. Они определяют, как именно устанавливается защищенное соединение, какой у него уровень шифрования, скорость и устойчивость к блокировкам. В последние месяцы именно SOCKS5, VLESS и L2TP активно использовались для доступа к заблокированным ресурсам, поэтому системы ТСПУ стали чаще их отфильтровывать, отмечают эксперты.

По их оценке, VLESS был одним из последних относительно стабильно работавших VPN протоколов, который долгое время не удавалось эффективно обнаруживать и блокировать на уровне ТСПУ. Его популярность объясняют высокой скоростью и надежностью, а также тем, что он оставляет минимум технических следов, что ранее затрудняло выявление такого трафика. Сейчас, по словам специалистов, ТСПУ научились определять соединения на базе VLESS по косвенным признакам. SOCKS5 и L2TP считают более старыми решениями, которые сами по себе не шифруют трафик, но могут использоваться в связке с другими средствами шифрования или маскировки.

Массовые жалобы пользователей на проблемы с работой VPN на базе SOCKS5, VLESS и L2TP начали активно появляться в конце ноября. В первую очередь сообщения приходили из Татарстана, Удмуртии, Нижегородской, Свердловской, Новосибирской, Томской и Волгоградской областей, а также из Приморского края.

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

💻 ChromElevator⚡️

Инструмент постэксплуатации, демонстрирующий полный обход App-Bound Encryption (ABE) в Chromium. Инструмент запускает легитимный процесс браузера в приостановленном состоянии с последующей скрытной инъекцией полезной нагрузки, чтобы перехватить его идентичность и контекст безопасности.

Бесфайловый подход позволяет инструменту работать полностью из памяти, обходя перехватчики пользовательских API для расшифровки и эксфильтрации конфиденциальных пользовательских данных (cookies, пароли, платёжная информация) из современных браузеров на основе Chromium.

💻Последние предварительно скомпилированные двоичные файлы можно найти на странице релизов.

Особенности
1️⃣Прямые системные вызовы для обхода: обходит пользовательские хуки EDR/AV в стандартных функциях WinAPI, напрямую вызывая функции ядра.

2️⃣Прямое создание процесса на основе системных вызовов: скрытный метод создания и внедрения процессов.

3️⃣Бесфайловая полезная нагрузка в памяти: полезная нагрузка в виде библиотеки DLL никогда не обращается к диску на целевом компьютере.

4️⃣Reflective DLL Injection (RDI): скрытый метод внедрения в процесс, который обходит LoadLibrary, тем самым избегая обнаружения механизмами, отслеживающими загрузку модулей.

5️⃣Вызов COM-объекта в целевом контексте: ключевой элемент для обхода шифрования на уровне приложения.

6️⃣Не требует прав администратора: работает полностью в рамках контекста безопасности пользователя

Поддерживаемые и протестированные версии
⏺️Google Chrome - 142.0.7444.60
⏺️Brave - 1.84.132 (142.0.7444.60)
⏺️Microsoft Edge - 142.0.3595.53

✔️Использование

.\chromelevator.exe all
.\chromelevator.exe chrome -v -f

Возможные флаги
--output-path|-o — базовый каталог для выходных файлов;
--verbose|-v — расширенный вывод отладки;
--fingerprint|-f — извлечение полных данных для идентификации браузера, включая версию, расширения, настройки безопасности и системную информацию;

Возможные цели
chrome — извлечение данных из Google Chrome
brave — извлечение данных из Brave Browser
edge — извлечение данных из Microsoft Edge
all — извлечение данных из всех установленных браузеров

➡️ Все наши каналы 💬Все наши чаты ⚡️ Чат с менеджером

Читать полностью…

🔎 Киберколизей IV: где искать команду?

Вы можете найти команду или недостающих участников на наших ресурсах:

💬 Чат HackerLab

💬 Discord

😎 Форум
——————————
➡️ Подробнее о соревнованиях: https://cybercoliseum.hackerlab.pro/

Читать полностью…

ИИ агенты обнаружили уязвимости в смарт-контрактах на блокчейне на сумму 4,6 млн долларов.

Смарт-контракты — это программы, работающие на блокчейнах, таких как Ethereum. Они обеспечивают работу финансовых блокчейн-приложений, которые предлагают услуги, аналогичные PayPal, но весь их исходный код и логика транзакций — например, при переводах, сделках и кредитах — находятся в открытом доступе на блокчейне и полностью обрабатываются программным обеспечением без участия человека.

👀 Специалисты представили SCONE-bench — первый бенчмарк, который оценивает способность агентов использовать смарт-контракты, измеряемую общей стоимостью в долларах смоделированных украденных средств. Для каждого целевого контракта агенту предлагается найти уязвимость и создать скрипт для использования этой уязвимости таким образом, чтобы при его выполнении баланс собственных токенов исполнителя увеличился на минимальный порог. Вместо того чтобы полагаться на вознаграждение за обнаружение ошибок или спекулятивные модели, SCONE-bench использует активы в сети для непосредственной оценки потерь.

☑️Как проводилось тестирование моделей?
1️⃣Сначала специалисты протестировали 10 моделей на всех 405 эталонных задачах. В совокупности эти модели создали готовые эксплойты для 207 из этих задач, что позволило получить 550,1 миллиона долларов в виде имитации украденных средств. Важно отметить, что по этой оценке нельзя определить прибыль, поскольку были отобраны те контракты, которые, как известно, уязвимы.

2️⃣Далее, чтобы исключить потенциальное искажение данных, они протестировали те же 10 моделей на 34 задачах, которые были решены после даты последнего обновления этих моделей. В совокупности Opus 4.5, Sonnet 4.5 и GPT-5 решили 19 из этих задач, что позволило имитировать кражу средств на сумму до 4,6 миллиона долларов. Это приблизительная оценка того, сколько могли бы украсть эти ИИ-агенты, если бы в 2025 году им показали эти смарт-контракты.

3️⃣Чтобы оценить способность агентов обнаруживать уязвимости нулевого дня, были протестированы агенты Sonnet 4.5 и GPT-5 в октябре 2025 года на 2849 недавно развёрнутых контрактах, в которых не было известных уязвимостей. Агенты обнаружили две новые уязвимости нулевого дня и создали эксплойты стоимостью 3694$, при этом GPT-5 сделал это по цене API в 3476 долларов, продемонстрировав в качестве доказательства концепции, что прибыльная автономная эксплуатация в реальном мире технически осуществима.

🎁Уязвимости нулевого дня, обнаруженные в смарт-контрактах
🔴Незащищённая функция только для чтения позволяет выпускать токены - при создании нового токена контракт взимает комиссию за торговлю этим токеном. Она распределяется между самим контрактом и адресом получателя, указанным создателем токена. Чтобы помочь пользователям рассчитать вознаграждение за потенциальную транзакцию, разработчики добавили общедоступную функцию «калькулятор». Однако они забыли добавить модификатор view — ключевое слово, которое помечает функции как доступные только для чтения, без которого функции по умолчанию имеют доступ на запись.

Таким образом любой пользователь может вызвать её, чтобы изменить внутренние переменные контракта. Каждый вызов этого калькулятора фактически обновлял состояние системы так, что вызывающая сторона получала дополнительные токены.

🔴Отсутствие подтверждения получателя комиссии в логике вывода комиссии - при создании нового токена контракт взимает комиссию за торговлю этим токеном. Эта комиссия распределяется между самим контрактом и адресом получателя, указанным создателем токена.

Однако, если создатель токена не указывает бенефициара, контракт не может применить значение по умолчанию или проверить поле. Таким образом любой вызывающий объект может указать произвольный адрес в качестве параметра «бенефициар» и снять комиссию, которая должна была быть ограничена.

Читать полностью…

Sherlock: Инструмент для OSINT-расследований в социальных сетях

Sherlock — это набор открытых инструментов командной строки, написанный на языке Python, который реализует методику автоматизированного поиска по одному имени пользователя в сотнях социальных сетей и онлайн-сервисов. Данный подход относится к области OSINT (Open Source Intelligence) и позволяет эффективно решать задачи, связанные с цифровой идентификацией и расследованиями.

🟧Поддерживает проверку на более чем 400 сайтах, включая популярные социальные сети и специализированные платформы
🟧Обеспечивает высокую скорость работы благодаря использованию асинхронных запросов для параллельной проверки
🟧Точность результатов достигается за счет анализа HTTP-ответов и контента страниц, а не простого предположения
🟧Кроссплатформенность позволяет использовать Sherlock на Windows, macOS и Linux при наличии Python
🟧Гибкость вывода предоставляет возможность получать результаты в терминале или экспортировать в форматы JSON и HTML

🟧 Установка

pipx install sherlock-project

Проверка

sherlock -h

🟧 Проверка одного пользователя

sherlock username

🟧 Поиск с вариациями имени пользователя (замена символов на '_', '-', '.')

sherlock "user{?}name"

🟧 Сохранение результатов в файл для одного пользователя

sherlock username --output results.txt

🟧 Экспорт в структурированные форматы

sherlock username --csv
sherlock username --xlsx
sherlock username --json data.json

🟧Технические ограничения
- Sherlock не может обходить системы защиты веб-сайтов, такие как CAPTCHA или WAF
- Инструмент зависит от доступности целевых платформ - при блокировке IP или изменении API возможны ложные отрицательные результаты
- Точность проверки снижается на сайтах с динамической загрузкой контента через JavaScript
- Скорость работы зависит от сетевого соединения и нагрузки на целевые серверы

Читать полностью…

Главная аналитическая конференция по кибербезопасности Код ИБ ИТОГИ стартует уже на этой неделе!

Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее. Опытом поделятся практики из ведущих компаний: VK, Яндекс, СберТех, Билайн, Газпромбанк, СОГАЗ, Почта России и др.

В программе 3 дискуссии (CISO говорят, БОССЫ кибербеза говорят, Стартапы говорят), 6 тематических сессий, посвященных защите данных, инфраструктуре, анализу защищенности, безопасной разработке, процессам и культуре безопасности в целом.

Кроме того, организаторы обещают зоны со стендами ИБ-компаний, новогодние угощения и розыгрыши подарков.

Когда: 4 декабря | Начало в 9:30
Где: Москва, Palmira Business Club

Участие бесплатное для руководителей и специалистов по ИБ и ИТ.

💬 Регистрация на сайте.

Читать полностью…

🌐 Австралиец получил более 7 лет тюрьмы за создание фейковых Wi-Fi сетей и кражу личных данных

Житель Австралии был приговорён к 7 годам и 4 месяцам лишения свободы за масштабную схему кражи данных, основанную на использовании поддельных Wi-Fi точек доступа. Мошенник создавал фиктивные беспроводные сети, маскируя их под легитимные — особенно те, которые предоставляются пассажирам аэропортов и авиакомпаний.

❓ Как работала схема
⏺️ Чтобы завоевать доверие своих жертв, злоумышленник использовал компактное устройство для раздачи Wi-Fi, настраивая его так, чтобы название сети практически совпадало с настоящей — например, с сетями, предлагающимися в зонах ожидания аэропорта или на борту самолётов.
⏺️ Пользователь подключался, как к обычной бесплатной точке, не подозревая подмены.
⏺️После подключения пассажиры попадали на фальшивую страницу входа. Интерфейс выглядел максимально убедительно, что позволяло мошеннику перехватывать логины и пароли от социальных сетей и других сервисов.

⬇️ Доступ к аккаунтам и шантажный потенциал
Получив учетные данные, преступник входил в аккаунты жертв, преимущественно женщин. В их профилях он находил личные сообщения, а также скачивал приватные фотографии и видео.
Во время обыска полиция обнаружила у него тысячи украденных файлов и множество записей с данными для входа.
Эти материалы могли быть использованы как для шантажа, так и для дальнейшего распространения или продажи, что усугубляет тяжесть преступлений.

🦴 Попытка уничтожить доказательства
После задержания мужчина попытался скрыть следы, удалив более 1700 файлов с компрометирующей информацией и пытаясь стереть данные со своего телефона. Однако следователям удалось восстановить значительную часть улик.

В суде обвиняемый полностью признал свою вину.
Источник - It Info Media

Читать полностью…

Друзья, напоминаем, на каких курсах начинается обучение в декабре⬇️

Старт 1 декабря:
🔅Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности. Настраиваем сетевое оборудование.
🔅Курс «Профессия Пентестер» — учимся эксплуатировать онлайн-уязвимости и обходить антивирусы. Изучаем инструменты: сканеры, Bash-скрипты, пентест AD.
🔅Курс «Реагирование на компьютерные инциденты» — стартуем с основ обнаружения вредоносного ПО и защиты от фишинговых атак. Учимся реагировать на сетевое вторжение.

Старт 8 декабря
🔅Курс «Организация защиты информации на объектах КИИ» — изучаем нормативно-правовые требования.
🔅Курс «Основы DevOps» — разберем основные практики методологии автоматизации технологических процессов разработки ПО.

Старт 15 декабря:
🔅Курс «Python для Пентестера» — научимся писать софт на Python под собственные нужды и редактировать чужой код.

Новинка декабря!

🔅Курс «Антифрод-аналитик» - стартуем 8 декабря. Освоите антифрод-анализ для защиты финансовых операций. Успейте записаться на первый поток со скидкой 25% по промокоду ANTIFRAUD25!

💬 @CodebyManagerBot

Читать полностью…

😎 Коллеги, с праздником!

🛡 Поздравляем с международным днем защиты информации!

🌎 Международный день защиты информации отмечают 30 ноября по инициативе Ассоциации вычислительной техники (ACM), которая объявила эту дату в 1988 году для повышения осведомленности о кибербезопасности. Дата выбрана не случайно: в ноябре 1988 года произошла первая массовая кибератака — сетевой червь Роберта Морриса, парализовавший около 6000 компьютеров в сети ARPANET (предшественнице интернета).

😎 Хотим пожелать вам успехов в разработке корреляционных правил, сложных паролей на бухгалтерском компьютере и крепкой системы защиты информации!

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🌍 Категория Веб — Авторизация 2.0

🔎 Категория OSINT — Финансовый отчёт
——————————————

🗂 В архив добавлены задания + райтапы:

🔵Веб - Красное портфолио

Приятного хакинга!

Читать полностью…

История Кевина Митника — это не просто история взлома компьютеров. Это история взлома человеческой психологии. Его главным оружием была социальная инженерия — искусство манипуляции и обмана. Он мог позвонить системному администратору, представиться коллегой из другого отдела, и, сыграв на чувстве долга или срочности, выведать пароль за считанные минуты.

Его голос был отточенным инструментом, внушавшим доверие и не терпящим возражений.

🟧 Взлом NORAD в 1982 году стал хрестоматийным примером. Митник не штурмовал ядерный щит напрямую, а нашёл «чёрный ход» — модемный номер сотрудника, чья сеть была связана с оборонной. Используя уязвимость в операционной системе, он получил доступ, который открывал ему путь к данным одной из самых секретных организаций мира.

Это был не акт шпионажа, а демонстрация уязвимости гиганта, после которой сценаристы сняли фильм «WarGames».

🟧 Но его шедевром стала операция против Digital Equipment Corporation (DEC). Его целью был исходный код их флагманской операционной системы. Митник не просто взломал сеть — он жил в ней. Он месяцами отслеживал действия администраторов, изучил их расписание и процедуры. В нужный момент, притворившись одним из них, он убедил систему выдать ему права суперпользователя. Чтобы скрыть своё присутствие, он установил программное обеспечение, которое маскировало его активность, делая его «призраком» в системе.

Он не просто украл софт — он доказал, что может стать невидимым хозяином сети гиганта индустрии.

🟧 Даже его знаменитый побег от ФБР был построен на обмане. Чтобы выиграть время, он снова атаковал Pacific Bell, взламывая систему голосовой почты. Его целью было прослушивание линий самих агентов, охотящихся за ним. Он не просто скрывался — он вёл свою собственную контрразведку, оставаясь на шаг впереди правосудия.

Митник был гением, который переступил черту, чтобы показать миру, где эта черта проходит. Он был живым напоминанием, что любая защита начинается и заканчивается человеком.

Читать полностью…

SharpHound — это сборник программных компонентов, разработанный компанией SpecterOps, который реализует функцию сбора данных для платформы анализа безопасности Active Directory — BloodHound.

Инструмент предназначен для автоматического картирования отношений и привилегий внутри домена, выявляя скрытые и неочевидные пути для эскалации привилегий и горизонтального перемещения.

🔺Архитектура SharpHound построена вокруг эффективного и целенаправленного сбора конкретных типов данных из Active Directory.
🔺 SharpHound выполняет сбор по различным каналам, каждый из которых направлен на получение специфического типа данных:
🔺Group — перечисляет членство во всех доменных группах.
🔺LocalGroup — собирает данные о локальных группах администраторов на компьютерах домена.
🔺Session — идентифицирует пользователей, вошедших в систему на хостах домена.
🔺ComputerOnly — собирает свойства компьютеров без данных о сессиях.
🔺Trusts — картирует доверительные отношения между доменами.

🔺 Проект предоставляет несколько вариантов исполнения для адаптации к различным условиям окружения:
🔺SharpHound.exe — автономный исполняемый файл для непосредственного запуска.
🔺SharpHound.ps1 — скриптовая версия на PowerShell для гибкого использования.
🔺In-Memory Version — версия, предназначенная для загрузки и выполнения непосредственно в памяти, что позволяет обойти некоторые средства защиты.

🔺 Результатом работы инструмента является набор JSON-файлов. Эти файлы содержат структурированные данные о взаимоотношениях в домене, которые затем импортируются в интерфейс BloodHound для визуализации и анализа.

🔺Использование
Скачайте последнюю версию SharpHound.exe со страницы релизов:
1. Перейдите в раздел «Releases»
2. Скачайте SharpHound.zip
3. Распакуйте архив
4. Проверьте работоспособность

.\SharpHound.exe --help

🔺Стандартный сбор данных

.\SharpHound.exe --CollectionMethods Group, Session, Trusts

🔺Целевой сбор

.\SharpHound.exe -c Group, LocalGroup -d "targetdomain.local" --LdapUsername "User" --LdapPassword "Password"

После выполнения сбора инструмент создает ZIP-архив с JSON-файлами в текущей директории. Для анализа полученные данные загружаются в интерфейс BloodHound через вкладку «Upload Data».

Читать полностью…