➡️Как обнаружить атаку на AD, когда не видно ничего подозрительного?

Изучите техники и методики атак на инфраструктуру Active Directory!

Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Бросаем вызов с 16 марта 🚗

➡️ Регистрация

Содержание курса:
⏺️AD-сети с миксом Windows/Linux
⏺️Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
⏺️Захват и укрепление позиций внутри инфраструктуры
⏺️Применение и анализ популярных эксплоитов

Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff

😀☺️😚🥲😎Дарим доступ к 20+ заданиям на взлом AD на hackerlab.pro при записи на курс!

Читать полностью…

❗️Новая Pro-лаборатория — Shadow Pipeline

Крупная технологическая корпорация, закрытая внутренняя сеть, подозрительное хранилище данных и минимальная точка входа. Ваша задача — проникнуть в инфраструктуру и выяснить, что скрывается в глубине сети.

Что внутри:
⏺️3 ВМ, 6 этапов
⏺️сценарий с постепенным развитием доступа
⏺️отличный формат для тренировки логики, разведки и работы во внутренних сетях

Лаборатория доступна по подписке Pro вместе с сотнями CTF-задач и курсами:
⏺️Введение в информационную безопасность
⏺️SQL Injection Master

Залетай и проверь, насколько хорошо ты умеешь двигаться по сети

▶️ https://hackerlab.pro/

Читать полностью…

Открытие весеннего сезона и новые задания на платформе HackerLab!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе. Не упустите шанс провести весенние дни с пользой, прокачать свои навыки и стать лучшим!

Призы:
🥇1 место — 2 месяца подписки PRO на HackerLab + 30% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥈2 место — 1 месяц подписки PRO на HackerLab + 20% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥉3 место — 1 месяц подписки PRO на HackerLab + 10% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
4-10 место — 1 месяц подписки PLUS на HackerLab + 5% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе

📆 Сезон завершается 31 мая
——————————————
🚩 Новые задания на платформе HackerLab!

⚙️ Категория Реверс-инжиниринг — Анализатор вселенной

🌍 Категория Веб — Документальный архив

Приятного хакинга!

Читать полностью…

OSSLSignCode: Инструмент для подписи кода и проверки цифровых подписей

OSSLSignCode — утилита с открытым исходным кодом для подписи исполняемых файлов и проверки цифровых подписей с использованием криптографических библиотек OpenSSL. Инструмент предназначен для создания, добавления, извлечения и верификации подписей в форматах Authenticode (PE, MSI, CAB) и других, поддерживая гибкую настройку параметров подписи и работу с различными типами сертификатов.

↗️OSSLSignCode предоставляет функциональность, аналогичную стандартной утилите signtool из Windows SDK, но с открытым исходным кодом и поддержкой различных платформ. Инструмент позволяет:
▶️создание цифровых подписей для PE-файлов (.exe, .dll), MSI-пакетов, CAB-архивов
▶️получение встроенных подписей из подписанных файлов
▶️очистку файлов от существующих цифровых подписей
▶️верификацию целостности и подлинности подписанных файлов
▶️добавление timestamp от доверенных служб

⬇️Установка

sudo apt install osslsigncode

Проверка

osslsigncode -h

⏺️Базовая подпись исполняемого файла с описанием и временной меткой

osslsigncode sign \
  -pkcs12 code_signing_cert.p12 \
  -pass secure_password \
  -n "Application Name" \
  -i https://company.com \
  -t http://timestamp.digicert.com \
  -h sha256 \
  -in app.exe \
  -out app_signed.exe

Подписание файла с указанием описания, URL компании, добавлением доверенной временной метки и использованием современного хеш-алгоритма SHA256.

⏺️Подпись MSI-инсталлятора

osslsigncode sign \
  -pkcs12 cert.p12 \
  -pass password \
  -add-msi-dse \
  -t http://timestamp.digicert.com \
  -in installer.msi \
  -out installer_signed.msi

Специализированная подпись для MSI-пакетов с обязательным флагом -add-msi-dse, обеспечивающим корректную работу цифровой подписи.

⏺️Проверка подписи с полной валидацией цепочки сертификатов

osslsigncode verify \
  -in app_signed.exe \
  -CAfile trusted_roots.pem \
  -CRLfile crl.pem \
  -verbose \
  -require-leaf-hash sha256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Комплексная проверка подписи, включающая валидацию по доверенным корневым сертификатам, проверку списков отзыва (CRL) и требование конкретного хеша листового сертификата для исключения подмены.

⏺️Извлечение подписи для анализа

osslsigncode extract-signature -pem -in app_signed.exe -out signature.pem

Извлечение встроенной подписи в PEM-формате для последующего анализа структуры PKCS#7, проверки сертификатов или интеграции с другими криптографическими инструментами.

⏺️Добавление временной метки к уже подписанному файлу

osslsigncode add \
  -t http://timestamp.sectigo.com \
  -in app_signed.exe \
  -out app_with_timestamp.exe

Обновление существующей подписи путем добавления актуальной временной метки без повторного подписания, что продлевает срок доверия к подписи после истечения сертификата.

🎇Ограничения и требования
- Требует установленной OpenSSL (версии 1.1.1 или 3.x)
- Поддерживаются PE, MSI, CAB
- Требуются действительные сертификаты подписи кода
- Для установки могут потребоваться права администратора

#OSSLSignCode #OpenSSL #tool #pentest #PKCS12 #MSI

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Как на самом деле работает режим инкогнито и гарантирует ли он приватность?

В новой статье рассказываем, почему приватный режим — это не анонимность.

Разбираем, почему режим инкогнито не делает вас невидимкой:
⏺️Кто на самом деле видит ваши запросы
⏺️Что такое фингерпринтинг и почему куки тут ни при чем
⏺️Как вас находят, даже если вы чистите историю

Также в статье:
➡️Как обеспечивать максимальную анонимность в сети, если это действительно необходимо
➡️А также рассмотрим сценарии, когда режим инкогнито может быть полезен

Читайте подробнее!

#анонимность #приватность #браузер

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🛡Кибер Трукрайм. Когда эпидемия грянула в одночасье и все хотят плакать

Представьте беговую дорожку.
На финише — вирус, который может уронить мировую инфраструктуру: банки, больницы, заводы, логистику.

На старте сразу несколько игроков:
🟢Microsoft с уязвимостью, из-за которой всё началось
🟢злоумышленники
🟢лучшие специалисты по кибербезопасности
🟢и безымянный хакер в засаленном худи

WannaCry: Кто добежит первым? Мир уйдёт в темноту или успеют остановить цепную реакцию? И да: это только первая глава истории.

Это спецсезон «Кибер Трукрайм» с разбором самых громких и сложных кейсов в кибербезопасности. Сегодняшний выпуск про ситуацию, где ставки были максимальные, спасение — почти случайность, а зачем всё затевали — до сих пор неясно. Версий много. Не хватает разве что инопланетян.

Эксперты выпуска:
— Дмитрий Галов, руководитель Kaspersky GReAT в России и СНГ
— Борис Ларин, ведущий исследователь Kaspersky GReAT

Слушать можно на Яндекс.Музыке, Apple Podcast или на другой удобной вам платформе.

Читать полностью…

🐗 Snort 3 — современный IDS/IPS-движок для обнаружения и предотвращения атак

Snort 3 (Snort++) — это переработанная версия легендарного IDS/IPS-движка, используемого для анализа сетевого трафика и обнаружения атак в реальном времени. Проект развивает Cisco, а сам движок активно применяется как в корпоративных SOC, так и в лабораториях для анализа и эмуляции сетевых атак.

Snort 3 получил модульную архитектуру, Lua-конфигурацию и серьёзный прирост производительности по сравнению со Snort 2.x.

🧠 Основные возможности Snort 3
⏺️ Глубокий анализ трафика (Deep Packet Inspection) — детектирование атак на уровне L3–L7 с использованием сигнатур, протокольных декодеров и препроцессоров.
⏺️ Модульная архитектура — плагины можно включать/отключать, расширять и писать собственные инспекторы.
⏺️ Многопоточность — полноценная поддержка multithreading для высокой пропускной способности.
⏺️Lua-конфигурация — гибкая настройка через snort.lua вместо громоздкого snort.conf из 2-й версии.
⏺️IDS и IPS режимы — может работать как пассивный сенсор или как inline-IPS с блокировкой пакетов.
⏺️Совместимость с правилами Snort 2.x — можно использовать существующие rule-сеты (VRT, community rules и др.).


⛓️‍💥 Базовый сценарий использования
Запуск Snort в режиме IDS для анализа интерфейса:

snort -c snort.lua -i eth0

Проверка конфигурации перед запуском:

snort -c snort.lua -T

Анализ pcap-файла:

snort -c snort.lua -r traffic.pcap

Запуск в inline-режиме (IPS) через DAQ:

snort -Q --daq afpacket -i eth0 -c snort.lua

⬇️ Установка
🐧 Linux (из репозитория или сборка из исходников)

git clone https://github.com/snort3/snort3.git
cd snort3
export my_path=/path/to/snorty
./configure_cmake.sh --prefix=$my_path
cd build
make -j $(nproc) install

После установки — проверить версию:

snort -V

#ids #ips #networksecurity #soc #snort #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Первый большой кризис безопасности ИИ-агентов уже здесь

OpenClaw — open-source агент ИИ, который за считанные недели собрал более 135.000⭐ на GitHub — стал не только технологическим феноменом, но и эпицентром крупнейшего инцидента в сфере AI-агентов 2026 года.

«Агенты ИИ с широким доступом к системе представляют собой принципиально новую категорию риска».

🔎OpenClaw (ранее Clawdbot и Moltbot) — автономный AI-агент, который может:
▶️выполнять shell-команды
▶️читать и записывать файлы
▶️отправлять письма
▶️управлять календарями
▶️интегрироваться с Slack, Google Workspace и мессенджерами
В отличие от обычных ассистентов, он действует от вашего имени. Пользователи даже покупают отдельные устройства, чтобы держать его запущенным 24/7.

Ключевая особенность —

постоянная память

: агент запоминает контекст и со временем изучает ваши привычки.

Удобно? Безусловно. Безопасно? Уже нет.

👉Хронология кризиса OpenClaw
⏺️27–29 января 2026
Через маркетплейс ClawHub злоумышленники распространили 335 вредоносных навыков, маскируя их под легитимные инструменты с профессиональными описаниями и нейтральными названиями вроде solana-wallet-tracker.
После установки пользователям предлагалось запустить внешний код — именно он разворачивал кейлоггеры на Windows и Atomic Stealer на macOS.
Позже исследователи подтвердили: 341 из 2857 навыков (≈12%) были скомпрометированы. Это показало, насколько уязвима экосистема, где публикация расширений практически не модерируется.

Один из экспертов назвал происходящее «первым supply-chain кризисом в мире автономных AI-агентов».

⏺️30 января 2026 — «тихий» патч и CVE-2026-25253
OpenClaw выпускает версию 2026.1.29, закрывающую уязвимость, но без немедленного публичного раскрытия деталей.
Проблема позволяла выполнить удалённый код через одну вредоносную ссылку — атака эксплуатировала доверие Control UI к параметрам URL и уязвимость WebSocket-соединений.
Даже инстансы, настроенные только на localhost, могли быть захвачены через межсайтовый hijacking.

Позже исследователи подтвердили: «эксплуатация занимает миллисекунды после открытия страницы».

⏺️31 января 2026 — 21 639 открытых экземпляров
Censys выявила 21 639 публично доступных инстансов OpenClaw — всего несколькими днями ранее их было около 1000. Рост оказался взрывным. Во многих из них обнаружили утечки API-ключей, OAuth-токенов и учетных данных в открытом виде. США лидировали по числу развертываний, за ними следовал Китай, где около 30% работали на Alibaba Cloud.

Это означало, что даже без сложной эксплуатации тысячи агентов уже были доступны извне.

⏺️31 января 2026
На той же неделе обнаружили, что Moltbook — соцсеть для OpenClaw-агентов — имела незащищённую базу данных. В результате утекли 35 000 email-адресов и 1,5 млн API-токенов. При этом платформа насчитывала более 770.000 активных агентов.

Экосистема вокруг OpenClaw росла быстрее, чем выстраивалась её безопасность — классический сценарий «growth over governance».

⏺️3 февраля 2026
CVE-2026-25253 получил публичный статус с рейтингом CVSS 8.8 (High). В тот же день OpenClaw опубликовал ещё две рекомендации по безопасности, связанные с внедрением команд.
Фактически стало ясно: агент с системным доступом + постоянная память + SaaS-интеграции = новый класс атак.

Сообщество безопасности назвало OpenClaw «кошмаром для ИБ» и «пожаром в мусорном контейнере», но популярность проекта продолжала расти.

🎇Почему это критично для бизнеса
Проблема не только в багах. Проблема в том, что сотрудники подключают личных AI-агентов к корпоративным системам — без ведома ИБ. OpenClaw может получить доступ к:
▶️Slack-сообщениям
▶️Gmail
▶️календарям
▶️документам
▶️OAuth-токенам для lateral movement
А благодаря «постоянной памяти» — все данные сохраняются между сессиями.

Если агент будет скомпрометирован, злоумышленник унаследует весь этот доступ. Это уже называют:
«теневой ИИ с повышенными привилегиями».

#OpenClaw #Moltbot #Clawdbot #ClawHub #news

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Nuitka: Компилятор Python в исполняемые файлы

Nuitka — это компилятор, транслирующий Python-код в C, а затем создающий исполняемый файл или модуль расширения. Инструмент написан на Python и обеспечивает полную совместимость с CPython, поддерживая практически все конструкции языка от Python 2.6 до 3.14. Основное назначение Nuitka — создание автономных приложений, ускорение выполнения кода и распространение программ без зависимости от интерпретатора.

👉Ключевые особенности
- Поддерживает Python 2.6–2.7 и 3.4–3.14
- Различные режимы компиляции: ускоренный (accelerated), автономный (standalone), однофайловый (onefile), модуль (module), пакет (package)
- Работает на Windows, Linux, macOS, FreeBSD
- Автоматическое управление зависимостями (включает необходимые модули и библиотеки)
- Поддержка упаковки данных (включение файлов ресурсов, DLL, метаданных)
- Интеграция с внешними компиляторами (MSVC, MinGW64, gcc, clang, zig)

⬇️Установка

pip install nuitka

Проверка

nuitka -h

⏺️Компиляция в ускоренном режиме (по умолчанию)

nuitka script.py

Создает исполняемый файл script.exe (Windows) или script.bin (Linux/macOS).

⏺️Создание автономной папки (standalone)

nuitka --mode=standalone --follow-imports script.py

Создает директорию script.dist с исполняемым файлом и всеми необходимыми библиотеками.

⏺️Создание однофайлового исполняемого файла

nuitka --mode=onefile --follow-imports script.py

Создает один исполняемый файл, который распаковывается во временную директорию при запуске.

⏺️Компиляция модуля расширения

nuitka --mode=module some_module.py

Создает some_module.so (Unix) или some_module.pyd (Windows).

⏺️Управление включением модулей

#включение конкретного модуля
nuitka --include-module=requests script.py

#включение всего пакета
nuitka --include-package=PyQt6 script.py

#исключение модулей
nuitka --nofollow-import-to=*.tests script.py

⏺️Работа с данными и ресурсами

#включение файлов данных пакета
nuitka --include-package-data=package_name script.py

#включение конкретных файлов
nuitka --include-data-files=/path/to/config.json=config.json script.py

#включение целой директории
nuitka --include-data-dir=./data=data script.py

⏺️Базовая компиляция с зависимостями

nuitka --mode=standalone --follow-imports --output-dir=./dist myapp.py

⏺️Компиляция веб-приложения Flask

nuitka --mode=onefile \
  --follow-imports \
  --include-package-data=flask \
  --include-package-data=jinja2 \
  --include-data-dir=./templates=templates \
  --include-data-dir=./static=static \
  app.py

⏺️Компиляция GUI-приложения на PyQt

nuitka --mode=standalone \
  --follow-imports \
  --include-package=PyQt6 \
  --windows-icon-from-ico=icon.ico \
  --windows-disable-console \
  main.py

⏺️Компиляция с расширенной информацией для отладки

nuitka --mode=standalone \
  --follow-imports \
  --verbose \
  --report=report.xml \
  --show-modules \
  script.py

⏺️Оптимизация с профилированием (PGO)

nuitka --mode=standalone \
  --follow-imports \
  --pgo \
  --pgo-args="--test-option" \
  script.py

⏺️Компиляция с использованием zig компилятора

nuitka --mode=standalone --zig --follow-imports script.py

⏺️Создание детального отчета

nuitka --mode=standalone --follow-imports --report=build_report.xml script.py

🎇Ограничения и требования
- Для Python 3.4 требуется дополнительный Python 2 или 3.5+ для SCons
- На Windows MinGW64 не работает с Python 3.13+
- Автономные сборки требуют копирования всей директории .dist
- Однофайловые сборки распаковываются во временную директорию при запуске

#Nuitka #Python #tool #CPython

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Информресурсы РКН и Минобороны подверглись DDoS-атаке

Информресурсы Роскомнадзора и Минобороны РФ подверглись DDoS-атаке, атакующие серверы расположены преимущественно в России, а также США, Китае, Великобритании и Нидерландах, атака продолжается в Роскомнадзоре.
27 февраля 2026 года в 09:11 Центр мониторинга и управления сетью связи общего пользования зафиксировал начало DDoS-атаки на информационные ресурсы Роскомнадзора, Министерства обороны РФ и инфраструктуру ФГУП "ГРЧЦ"

Как уточнили в ведомстве, мощность атаки достигала 33 Гбит/с, а скорость - до 36,9 миллиона пакетов в секунду
Ранее, днем в пятницу, перестал работать сайт Роскомнадзора: при попытке входа на сайт с Wi-Fi или мобильного интернета браузер выдавал ошибку.

Источник: https://ria.ru/20260227/roskomnadzor-2077243855.html

#news #roskomnadzor #russia #internet #runet

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Санкт-Петербургский кибербез под санкциями в США!

❗️ Санкт-Петербургская компания Operation Zero (ООО «Матрица») и её учредитель Сергей Зеленюк попали под санкции OFAC США.

☁️ Платформа позиционирует себя как единственную в России официальную площадку для покупки уязвимостей нулевого дня (zero-day эксплойтов). Американцы обвиняют её в торговле киберинструментами, предназначенными исключительно для США и союзников.

🔎 Согласно обвинению с американской стороны, среди приобретённых Operation Zero инструментов - минимум восемь проприетарных эксплойтов, украденных из американского оборонного подрядчика L3Harris. Их слил бывший глава подразделения Trenchant Питер Вильямс, который в октябре 2025 признал вину в продаже секретов российскому брокеру за деньги (с 2022 по 2025 год). Operation Zero затем перепродала эти инструменты неавторизованным пользователям.

🔗 Под санкции также угодили связанные лица и фирмы: компании из ОАЭ Special Technology Services и Advance Security Solutions, помощница Зеленюка Марина Васанович, а также Азизджон Мамашоев и Олег Кучеров (последнего связывают с ботнетом Trickbot).

❓ Что думаете насчет данной новости?

Источник: https://home.treasury.gov/news/press-releases/sb0404

#operationzero #usa #blocked #spb

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Boofuzz: Инструмент фаззинга сетевых протоколов

Boofuzz — фреймворк для фаззинга (fuzzing) сетевых протоколов, являющийся форком и преемником известного инструмента Sulley. Разработан для генерации и передачи некорректных или неожиданных данных целевым приложениям с целью выявления уязвимостей, ошибок обработки ввода и отказов в обслуживании. Boofuzz сочетает простоту использования с расширяемостью, что позволяет применять его для тестирования самых разных протоколов и интерфейсов.

Boofuzz наследует основные концепции Sulley, добавляя исправление ошибок, актуальную документацию и поддержку современных сред. Как и предшественник, инструмент охватывает все критические элементы процесса фаззинга:
▶️Быстрое создание тестовых наборов на основе шаблонов
▶️Обнаружение отказов и аномалий в целевой системе
▶️Автоматический перезапуск цели после сбоя
▶️Запись всех тестовых данных и результатов

👉Отличия от Sulley
- Актуальная онлайн-документация и поддержка
- Поддержка произвольных каналов связи (последовательный порт, Ethernet, UDP-широковещание)
- Улучшенная регистрация данных с экспортом в CSV
- Расширяемая система инструментирования
- Упрощенная установка через pip
- Исправление многочисленных ошибок оригинального фреймворка

⬇️Установка

pip install boofuzz

Проверка

python -c "import boofuzz; print(boofuzz.__version__)"

⏺️Boofuzz используется как Python-библиотека для создания скриптов фаззинга. Простейший пример для тестирования TCP-сервера:

from boofuzz import *

def main():
    session = Session(
        target=Target(connection=TCPSocketConnection("127.0.0.1", 9999))
    )

    s_initialize("Request")
    s_string("FUZZ", name="fuzzable_field")
    
    session.connect(s_get("Request"))
    session.fuzz()

if __name__ == "__main__":
    main()

Запуск скрипта:

python fuzzer_script.py

⏺️Фаззинг HTTP-сервера

from boofuzz import *

def main():
    session = Session(
        target=Target(connection=TCPSocketConnection("127.0.0.1", 80)),
        sleep_time=0.1,
    )

    s_initialize("HTTP GET")
    s_static("GET ")
    s_string("/", name="URI")
    s_static(" HTTP/1.1\r\n")
    s_static("Host: ")
    s_string("localhost", name="Host")
    s_static("\r\n")
    s_static("User-Agent: Mozilla/5.0\r\n")
    s_static("Accept: */*\r\n")
    s_static("\r\n")

    session.connect(s_get("HTTP GET"))
    session.fuzz()

if name == "__main__":
    main()

⏺️Фаззинг с мониторингом отказов

from boofuzz import *
import subprocess

def restart_target():
    """Функция перезапуска цели"""
    subprocess.run(["systemctl", "restart", "target-service"])

def main():
    #настройка мониторинга процесса
    monitor = ProcessMonitor("192.168.1.100", 26002)
    
    session = Session(
        target=Target(
            connection=TCPSocketConnection("192.168.1.100", 9999),
            monitors=[monitor]
        ),
        restart_callbacks=[restart_target],
        crash_threshold=3,
    )

    #описание протокола...
    session.fuzz()

if name == "__main__":
    main()

⏺️Экспорт результатов

session = Session(
    target=Target(connection=connection),
    output_path="fuzz_results",           # директория для результатов
    csv_logger=True,                       # включение CSV-логирования
    log_level=logging.DEBUG,                # уровень детализации лога
)

После завершения фаззинга boofuzz создает директорию с результатами, содержащую:
▶️Тестовые кейсы (все отправленные запросы с метками)
▶️Лог сбоев (информация о крашах и аномалиях)
▶️CSV-файл (сводная таблица результатов)
Пример структуры результатов:

├── crashes.log
├── fuzz.db
├── fuzz_results.csv
└── test-cases/
    ├── test-case-000001
    ├── test-case-000002
    └── ...

#Boofuzz #tool #pentest #Sulley

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🧾 Защита КИИ. Почему системные проблемы не решаются годами?

Федеральный закон № 187-ФЗ действует в России с 2017 года. Выпущены десятки подзаконных актов, проведены сотни проверок. Казалось бы, время выстроить системную работу было.

В январе 2026 года ФСТЭК представила доклад о проверках значимых объектов КИИ за 2025 год. Цифры заставляют задуматься.
Ключевые итоги проверок:
▶️выявлено более 1200 нарушений
▶️направлено более 2000 предписаний
▶️возбуждено 603 административных дела
▶️только 36% организаций достигли минимального уровня защищенности
Из 603 дел 111 возбуждены по статье о нарушении порядка защиты информации, а 492 — о непредставлении или несвоевременном представлении сведений во ФСТЭК.

«Мы видим системные проблемы, которые переходят из года в год. Организации по-прежнему не выстраивают базовые процессы, хотя законодательство не менялось кардинально и у всех было время на адаптацию» - Елена Торбенко, начальник управления ФСТЭК России

👉Анализ проверок позволяет выделить несколько ключевых причин, по которым большинство организаций не могут обеспечить даже минимальный уровень защиты.

1️⃣Изоляция специалистов по информационной безопасности
Специалисты ИБ не участвуют в проектировании, не знают об изменениях архитектуры, не контролируют появление новых серверов и приложений.

«Очень часто ИБ-специалистов не погружают в процессы создания и эксплуатации ИТ-систем, хотя к обеспечению безопасности должны быть причастны все участники» - Елена Торбенко, начальник управления ФСТЭК России

Почти во всех проверках — несоответствие сведений об объекте его фактическому состоянию. Архитектура меняется, а меры защиты остаются прежними.

2️⃣Отсутствие полного учета активов
Если ИБ не погружена в процессы, она не имеет полной картины инфраструктуры. Появляются теневые активы — серверы, IP-адреса, сервисы, о которых служба безопасности не знает.

Контроль за инвентаризацией — это не разовое мероприятие, а непрерывный процесс» - Сергей Ратников, главный инженер ИБ-направления «Уралэнерготел»

«Только 2% организаций знают обо всех своих ИТ-активах. Чем больше теневых ресурсов, тем выше вероятность, что атакующие уже получили доступ» - Павел Загуменнов, руководитель направления Bi.Zone

Эксперты оценивают, что до 78% брешей в защите находится именно на неучтенных ресурсах. Категорирование объектов КИИ начинается с корректной инвентаризации. Нельзя определить состав объектов и присвоить им категории, не имея полной картины инфраструктуры.

3️⃣Разрозненность средств защиты и кадровый дефицит
Антивирусы, межсетевые экраны, SIEM-платформы работают изолированно, их администрированием занимается ограниченное число специалистов. В условиях кадрового голода своевременное реагирование на инциденты становится невозможным.

ФСТЭК отдельно обращает внимание на практику периодического, а не постоянного мониторинга. Эпизодические проверки оставляют окна для эксплуатации уязвимостей.

Технические меры защиты должны проектироваться как единый комплекс, а не набор разрозненных средств. Выбор и внедрение СЗИ, их интеграция в единый контур управления требуют системного подхода с учетом особенностей объекта.

4️⃣Критическая ошибка при резервном копировании
Многие организации хранят резервные копии в той же среде, что и основные производственные системы. При кибератаке под удар попадают и данные, и их копии.

Во ФСТЭК подчеркивают: такая практика ставит под угрозу возможность восстановления после успешной кибератаки.

Выстраивание процессов обеспечения безопасности требует внимания к каждому элементу: от управления доступом до резервного копирования. Документация должна быть рабочей — политики и регламенты, которые действительно применяются и обновляются.

🎇Разобраться в требованиях 187-ФЗ и научиться выстраивать работающую систему защиты можно на практическом курсе. Старт курса 16 марта.

#КИИ #187ФЗ #ИБ #ФСТЭК

🪧 Для связи с менеджером @CodebyAcademyBot

Читать полностью…

HexStrike AI: Платформа для автоматизации кибератак с использованием искусственного интеллекта

HexStrike AI представляет собой специализированную платформу для автоматизации задач кибербезопасности, построенную на архитектуре мультиагентного искусственного интеллекта. Инструмент предназначен для автоматизации разведки, анализа уязвимостей и проведения тестов на проникновение, ориентирован на специалистов по безопасности, исследователей уязвимостей и участников программ bug bounty.

HexStrike AI реализует многоагентную архитектуру, включающую компоненты:
▶️Автономные AI-агенты, выполняющие специализированные задачи безопасности
▶️Механизм интеллектуального принятия решений на основе анализа контекста
▶️Система управления уязвимостями с приоритизацией угроз
▶️Интеграция с внешними инструментами через MCP (Modular Connector Protocol)

Платформа включает более

150

интегрированных модулей, охватывающих все этапы тестирования на проникновение: от разведки до эксплуатации уязвимостей.

⬇️Установка

sudo apt update
sudo apt install hexstrike-ai

Установка зависимостей вручную

pip install mitmproxy aiohttp beautifulsoup4 flask mcp psutil pwntools requests selenium

Проверка

hexstrike_server -h
hexstrike_mcp -h

HexStrike AI состоит из двух основных компонентов:
▶️hexstrike_server — центральный API-сервер, реализующий основную логику и взаимодействие с AI-агентами
▶️hexstrike_mcp — клиент для подключения к серверу через MCP-протокол

⏺️Запуск сервера

hexstrike_server

По умолчанию сервер запускается на 127.0.0.1:8888 с выводом информационного баннера и статуса работы

⏺️Параметры сервера

hexstrike_server --help

Опции:
- --debug — включение отладочного режима
- --port PORT — указание порта для API-сервера (по умолчанию 8888)

⏺️Запуск MCP-клиента

hexstrike_mcp --server http://127.0.0.1:8888

⏺️Параметры клиента

hexstrike_mcp -h

Опции:
- --server SERVER — URL API-сервера HexStrike AI (по умолчанию http://127.0.0.1:8888)
- --timeout TIMEOUT — таймаут запроса в секундах (по умолчанию 300)
- --debug — включение отладочного логирования

⏺️Базовый запуск для анализа целевой системы

#терминал 1: запуск сервера
hexstrike_server --debug
#терминал 2: подключение клиента
hexstrike_mcp --server http://127.0.0.1:8888 --timeout 600

🔎HexStrike AI построен на клиент-серверной архитектуре
▶️Серверный компонент:
- Управляет пулом процессов (по умолчанию 4 воркера)
- Реализует адаптивный AI-движок принятия решений
- Обеспечивает интеграцию с более чем 150 модулями
- Поддерживает унифицированный интерфейс операций
▶️Клиентский компонент:
- Взаимодействует с сервером через HTTP API
- Поддерживает настраиваемые таймауты для длительных операций
- Обеспечивает отладочный режим для диагностики

#HexStrike-AI #tool #pentest #MCP

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

❗️ Чтобы пентест не провалился на первом же запросе, нужно понимать, как работает современный антифрод.
Разбираем его архитектуру, методы сбора данных и слабые места, которые можно использовать.

Получите практические навыки на курсе «Антифрод-аналитик». Запись до 2 марта — вы еще успеваете присоединиться к текущему потоку.

#антифрод #детект #телеметрия #эвристика

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

☕️ Krakatau — инструмент для реверса и анализа Java-байткода

Krakatau — это open source-набор инструментов для анализа, дизассемблирования и декомпиляции Java-байткода. Утилита позволяет разбирать .class и .jar-файлы, исследовать структуру байткода и выполнять глубокий реверс Java-приложений.

Инструмент часто используется в reverse engineering, malware-анализе и security-исследованиях Java-ПО, где необходимо понять логику работы программы на уровне JVM-инструкций.


📐 Основные возможности Krakatau
📉 Дизассемблирование Java-байткода — преобразует .class-файлы в читаемый assembly-подобный формат JVM.
📉 Декомпиляция в Java-код — позволяет восстановить исходную логику программы из байткода.
📉 Ассемблер для JVM-байткода — можно модифицировать и пересобирать .class-файлы.
📉 Работа с JAR-архивами — поддерживает анализ и извлечение байткода из .jar.
📉 Подходит для malware-анализа — удобен для исследования обфусцированных Java-приложений.


⬇️ Установка
Krakatau v2 написан на Rust, поэтому сначала нужно установить Rust toolchain.

git clone https://github.com/Storyyeller/Krakatau.git
cd Krakatau
cargo build --release

После сборки бинарник появится в:

target/release/krak2

⏺️Его можно добавить в PATH или запускать напрямую.


💻 Базовый сценарий использования

1️⃣ Дизассемблирование .class-файла:

krak2 dis --out out_dir Example.class

2️⃣ Дизассемблирование .jar-архива:

krak2 dis --out disassembled.zip app.jar

3️⃣ Сборка .class из .j-файла:

krak2 asm --out Foo.class Foo.j

4️⃣ Сборка .jar из набора .j файлов:

krak2 asm --out modified.jar source_dir/

#reverse #java #malware #security #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Девушки в истории ИБ

Кибербезопасность, криптография и вычислительная техника развивались благодаря множеству выдающихся людей. Среди них — женщины, чьи исследования и открытия сильно повлияли на развитие информационной безопасности.

Разберём несколько ярких примеров.

➡️Ада Лавлейс - Ada Lovelace считается первым программистом в истории.
⏺️Работала с проектом механического компьютера Charles Babbage
⏺️Написала первый алгоритм для аналитической машины
⏺️Предсказала возможность использования компьютеров для работы с музыкой и графикой
⏺️Описала принципы программирования задолго до появления реальных компьютеров

Её работы стали фундаментом для развития программирования и вычислительных систем.

➡️Джоан Кларк — британский криптоаналитик и одна из ключевых фигур взлома немецких шифров во время Второй мировой войны.
⏺️Работала в криптоаналитическом центре Bletchley Park
⏺️Входила в команду Alan Turing
⏺️Участвовала в анализе шифровальной машины Enigma machine
⏺️Помогла разработать методы поиска ключей для расшифровки сообщений

Работа команды Блетчли-парка позволила значительно ускорить окончание Второй мировой войны.

➡️Париса Табриз — известный исследователь безопасности и руководитель безопасности браузера.
⏺️Работает в компании Google
⏺️Руководит безопасностью браузера Google Chrome
⏺️Известна внутри компании как “Security Princess”
⏺️Развивает программы bug bounty и защиту браузера от уязвимостей

Благодаря её команде Chrome считается одним из самых безопасных браузеров.

➡️Шафи Голдвассер — один из крупнейших специалистов в современной криптографии.
⏺️Лауреат Turing Award
⏺️Соавтор концепции Zero-knowledge proof
⏺️Работала профессором в MIT и Институте Вейцмана
⏺️Её исследования легли в основу современных криптографических протоколов

Её работы используются в системах аутентификации, блокчейне и защищённых вычислениях.

#8марта #криптография #праздник

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🎇 В Packagist обнаружены вредоносные Laravel-пакеты, распространяющие RAT для Windows, macOS и Linux

Исследователи обнаружили вредоносные PHP-пакеты в репозитории Packagist, которые маскируются под вспомогательные библиотеки для Laravel. На самом деле они устанавливают кроссплатформенный троян удалённого доступа (RAT), способный работать на Windows, macOS и Linux.

Атака относится к классу supply chain attacks — злоумышленники распространяют вредоносный код через зависимости, которые разработчики устанавливают в свои проекты.

❗️ Вредоносные пакеты
Специалисты обнаружили следующие подозрительные пакеты:
▶️nhattuanbl/lara-helper
▶️nhattuanbl/simple-queue
▶️nhattuanbl/lara-swagger

Количество загрузок у них было небольшим, однако они всё равно представляют серьёзную угрозу для разработчиков и серверов, где используются.

Особенность атаки в том, что пакет lara-swagger не содержит вредоносный код напрямую — вместо этого он добавляет зависимость lara-helper, которая уже устанавливает RAT. Такой подход усложняет обнаружение угрозы.


❓Как работает вредоносный код
🔔 В пакетах lara-helper и simple-queue исследователи нашли PHP-файл:

src/helper.php

🔔 Вредоносный код использует несколько техник, чтобы затруднить анализ:
⏺️обфускацию потока управления
⏺️кодирование доменных имён
⏺️скрытие команд и путей
⏺️рандомизацию имён функций и переменных

Это значительно усложняет статический анализ и поиск вредоносной логики.

🕸 Подключение к серверу управления (C2)

После загрузки вредоносный код устанавливает соединение с сервером управления:
helper.leuleu[.]net:2096

Далее заражённая система отправляет информацию о системе и начинает ждать команды оператора. Это фактически даёт злоумышленнику полный удалённый доступ к машине.

Связь происходит по TCP через PHP-функцию:
stream_socket_client()

Благодаря этому вредоносный код остаётся работоспособным даже в средах с жёсткой конфигурацией безопасности PHP.

#rat #attack #laravel #windows #linux

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

MAX следит за пользователями VPN?

🎇Пользователь runetfreedom на ресурсе Habr провел реверс-инжиниринг клиента российского мессенджера MAX (версия 26.4.3) и подтвердил, что приложение содержит модуль для слежки за использованием VPN и доступностью заблокированных ресурсов.

В ходе анализа трафика через mitmproxy и декомпиляции APK было установлено следующее:
1️⃣Приложение использует бинарный протокол (заголовок 10 байт + данные в формате MessagePack), который сложно декодировать стандартными средствами. Трафик замешивается с основными данными мессенджера, что делает невозможной его блокировку без отключения самого MAX.
2️⃣При сворачивании или разворачивании приложения на серверы api.oneme.ru уходит пакет со следующим содержимым:
- Список целей (main.telegram.org, mmg.whatsapp.net, gosuslugi.ru, gstatic.com, mtalk.google.com и другие)
- Результаты проверки (доступность хостов по ICMP (ping) и TCP-порту 443 (HTTPS). Это позволяет определить, заблокирован ли ресурс на уровне ТСПУ)
- IP-адрес устройства (запросы к списку сервисов (как российских, так и зарубежных) для определения реального IP)
- Статус VPN (флаг, показывающий, активно ли VPN-подключение на устройстве (через нативный Android API))
- Данные оператора (PLMN-код (MCC + MNC), позволяющий определить страну и оператора связи)
3️⃣Модуль включается и отключается сервером удаленно. При логине или обновлении сессии приходит конфигурация с флагом host-reachability, что позволяет активировать слежку точечно — для конкретных аккаунтов или групп.

🔎Выводы из исследования
▶️Модуль был разработан намеренно, это не случайный аналитический SDK
▶️ Методология проверки (ping + TCP:443) напрямую указывает на цель — мониторинг эффективности блокировок
▶️ Смешивание шпионского трафика с основным делает невозможным его отсечение без отключения всего мессенджера
▶️Сбор IP через микс российских и зарубежных сервисов помогает выявлять пользователей, которые не заворачивают весь трафик в VPN
▶️Возможность дистанционного включения функции для отдельных пользователей превращает приложение в инструмент тотальной слежки

❗️Автор исследования рекомендует:
▶️Удалить приложение
▶️Если удалить невозможно — установить его в изолированное рабочее пространство (Samsung Knox, Второе пространство на Xiaomi, Shelter на чистых Android). Такие среды обычно не наследуют VPN основного профиля
▶️Заблокировать на файерволе сервисы определения IP, которые использует приложение
▶️Рассказать другим — даже если пользователю нечего скрывать, такие инструменты лишают доступа к части интернета и бытового комфорта

❗️Официальный ответ MAX
В пресс-службе MAX заявили Habr, что приложение не отправляет запросы на серверы WhatsApp* и Telegram. Разработчики опубликовали детальные пояснения:
1️⃣IP-адреса нужны только для звонков (технология WebRTC требует внешний IP для построения прямого P2P-маршрута «телефон-телефон». Это стандарт для всех сервисов с подобными звонками)
2️⃣Запросы к Apple и Google необходимы для проверки доставки push-уведомлений в сложных сетевых условиях и при ограничениях связи в регионах
3️⃣MAX не отправляет запросы на серверы WhatsApp* и Telegram

В компании подчеркнули: решения направлены исключительно на качество звонков и уведомлений. К персональным данным, VPN и другим сервисам они не имеют отношения.

✉️Официальные пояснения не объясняют факты, вскрытые реверс-инжинирингом:
▶️Зачем для звонков проверять gosuslugi.ru и другие сторонние сайты?
▶️Почему кроме TCP:443 проверяется ICMP (ping) — классический метод тестирования блокировок в обход ТСПУ?
▶️Зачем безобидную информацию передавать в закрытом бинарном протоколе, замешивая с основным трафиком?
▶️Почему модуль управляется удаленно через серверный флаг host-reachability, включаясь точечно для отдельных аккаунтов?

Ответ разработчиков не закрывает эти вопросы. Выводы каждый делает сам.

*Принадлежит Meta, признанной экстремистской и запрещенной в РФ

#MAX #news #VPN #Habr

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

BloodyAD: Фреймворк для повышения привилегий в Active Directory

BloodyAD — инструмент, выполняющий специализированные LDAP-запросы к контроллеру домена. Поддерживает аутентификацию с использованием паролей в открытом виде, Pass-the-Hash, Pass-the-Ticket и сертификатов, обеспечивая гибкие возможности для тестирования безопасности AD-инфраструктур.

👉BloodyAD предоставляет возможность выполнять привилегированные операции через LDAP-протокол. Инструмент отличается следующими характеристиками:
▶️множество методов аутентификации (NTLM (пароль/хеш), Kerberos, сертификаты (Schannel, PKINIT))
▶️прозрачная работа через SOCKS-прокси
▶️поддержка LDAPS и шифрования
▶️интеграция с DNS-функциями Active Directory
▶️гибкая система команд для управления объектами AD

⬇️Установка

pipx install bloodyad

Проверка

bloodyad -h

⏺️Аутентификация с паролем (NTLM)

bloodyAD --host 192.168.1.10 -d bloody.local -u john.doe -p 'Password123!' get object user john.doe

⏺️Pass-the-Hash аутентификация

bloodyAD --host dc01.corp.local -d corp.local -u administrator -p :70016778cb0524c799ac25b439bd6a31 get group "Domain Admins"

⏺️Смена пароля пользователя

bloodyAD --host 172.16.1.15 -d bloody.local -u admin -p 'Admin123!' set password john.doe 'NewP@ssw0rd!'

⏺️Получение информации о пользователе

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get object user administrator --json

⏺️Добавление пользователя в группу

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add groupmember "Domain Admins" john.doe

⏺️Удаление пользователя из группы

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' remove groupmember "Domain Admins" john.doe

⏺️Shadow Credentials (атака на основе сертификатов)

#добавление теневых учетных данных для пользователя
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add shadowCredentials john.doe

#получение хеша из теневых учетных данных
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' get shadowCredentials john.doe

⏺️Изменение атрибутов безопасности

#добавление GenericAll права для пользователя на объект
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' set genericall john.doe "CN=AdminSDHolder,CN=System,DC=corp,DC=local"

⏺️Поиск объектов с заданными атрибутами

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(&(objectClass=user)(adminCount=1))"

⏺️Получение всех пользователей с непередаваемыми учетными записями

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(userAccountControl:1.2.840.113556.1.4.803:=8192)"

🎇Ограничения и требования
- Для выполнения привилегированных операций требуются соответствующие права в AD
- Необходим доступ к портам LDAP (389/636) и, при необходимости, к Kerberos (88)
- Поддерживаются современные версии Python 3
- Кроссплатформенный инструмент (Windows, Linux, macOS)

#ActiveDirectory #AD #LDAP #BloodyAD #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Certipy: Инструмент для аудита и эксплуатации служб сертификации Active Directory

Certipy — инструмент для перечисления, анализа и эксплуатации уязвимостей служб сертификации Active Directory (AD CS). Разработан для профессионального тестирования на проникновение и защиты инфраструктур, поддерживает полный спектр известных атак (ESC1–ESC16) и предоставляет возможности для обнаружения, запроса, подделки сертификатов и ретрансляции аутентификации.

🎇Certipy предназначен как для наступательных, так и для защитных задач, связанных с Active Directory Certificate Services. Инструмент обеспечивает комплексный подход к оценке безопасности PKI-инфраструктуры Windows. Функции:
▶️поиск центров сертификации (CA) и шаблонов сертификатов
▶️автоматическое выявление misconfigurations (ESC1–ESC16)
▶️создание сертификатов с заданными атрибутами
▶️использование сертификатов для получения доступа
▶️перехват и перенаправление NTLM-аутентификации на HTTP(S)/RPC-эндпоинты AD CS

⬇️Установка

pipx install certipy-ad

Проверка

certipy-ad -h

⏺️Перечисление AD CS (find)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10

⏺️Сохранение результатов (флаг -output)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -output results

⏺️Поиск уязвимостей (флаг -vulnerable)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -vulnerable

⏺️Запрос сертификата (req)

certipy-ad req -u user@domain.local -p 'Password123!' -ca 'CA-SERVER' -template 'User'

⏺️Аутентификация по сертификату (auth)

certipy-ad auth -pfx user.pfx -dc-ip 192.168.1.10

⏺️Управление сертификатами (cert)

certipy-ad cert -pfx user.pfx -password 'Password123!' -export

⏺️Shadow Credentials атака (shadow)

certipy-ad shadow -u user@domain.local -p 'Password123!' -target 'computer$' -dc-ip 192.168.1.10

⏺️Ретрансляция NTLM (relay)

certipy-ad relay -ca 192.168.1.10 -template 'DomainController'

⏺️Справка по конкретной команде

certipy-ad find -h

👉Ограничения
- для эксплуатации многих уязвимостей требуются базовые права доменного пользователя
- необходим доступ к LDAP (389/636), RPC (135/445) и HTTP(S) (80/443) портам CA
- зависимости (impacket, ldap3, pyopenssl, asn1crypto и другие библиотеки)

#ActiveDirectory #AD #LDAP #Certipy #tool #pentest #ADCS

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🔁 LazyDLLSideload

Инструмент на языке Rust для создания DLL библиотек, использующихся при проведении работ по тестированию на проникновение. Автоматически анализирует таблицы экспорта PE и генерирует готовые к компиляции библиотеки на Rust со встроенной полезной нагрузкой.

🪧 Теория
DLL Sideloading - техника из матрицы MITRE ATT&CK, которая означает загрузка сторонних DLL-библиотек (T1574.001).

Злоумышленники могут выполнять свои собственные вредоносные программы путем дополнительной загрузки библиотек DLL. Дополнительная загрузка включает в себя перехват библиотеки DLL, которую загружает программа, путем установки и последующего вызова легитимного приложения, которое выполняет их полезную нагрузку.

Злоумышленники могут многократно загружать дополнительные библиотеки DLL, чтобы фрагментировать функциональность, препятствующую анализу. Злоумышленники, использующие несколько библиотек DLL, могут распределить функции загрузки по разным библиотекам DLL, при этом основная библиотека DLL загружает отдельные функции экспорта.

Инструмент поддерживает два режима работы:
1️⃣Загрузка сторонних DLL-библиотек.
В режиме Sideload создается DLL, которая заменяет исходную и выполняет вашу полезную нагрузку при вызове определенной экспортируемой функции. Исходная DLL не используется.

./LazyDLLSideload.exe -m sideload -p <path_to_dll> -e <export_to_hijack>

2️⃣Прокси режим.
В режиме прокси создается DLL, которая:
▶️переадресовывает все вызовы функций в исходную (переименованную) DLL;
▶️перехватывает (подменяет) одну конкретную функцию для выполнения вашего кода;
▶️сохраняет полную функциональность исходной DLL.

# Relative path mode
./LazyDLLSideload.exe -m proxy -p <path_to_dll> -e <export_to_hijack> -n <renamed_dll>

# Absolute path mode
./LazyDLLSideload.exe -m proxy -p <absolute_path_to_dll> -e <export_to_hijack>

💻 Флаги
-m, --mode - выбор режима sideload или proxy;
-p, --path - путь к целевой библиотеке DLL;
-e, --export - имя экспортируемой функции для перехвата;
-n, --name - исходное имя DLL после переименования.

#tools #rust #dll

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Друзья, напоминаем, на каких курсах начинается обучение в марте🚗

Старт 2 марта:
⏺️Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности. Настраиваем сетевое оборудование.
⏺️Курс «Реагирование на компьютерные инциденты» — стартуем с основ обнаружения вредоносного ПО и защиты от фишинговых атак. Учимся реагировать на сетевое вторжение.
⏺️Курс «Антифрод-аналитик» — научитесь выявлять мошенничество, анализировать данные и применять Python для защиты бизнеса от финансовых потерь. Запись на первый поток с выгодой до 18%

Старт 16 марта:
⏺️Курс «Организация защиты информации на объектах КИИ» — изучаем нормативно-правовые требования.
⏺️Курс «Основы DevOps» — разберем основные практики методологии автоматизации технологических процессов разработки ПО.
⏺️Курс «Пентест Active Directory»— изучаем техники и методики атак на инфраструктуру Active Directoryв лаборатории на 30+ виртуальных машин

Старт 30 ноября:
⏺️Курс «Python для Пентестера» — научимся писать софт на Python под собственные нужды и редактировать чужой код.

➡️Запишитесь у нашего менеджера @CodebyAcademyBot 🚀или узнайте подробности на сайте!

Читать полностью…

📜Тайны «Механики Зла» - 4 гравюры, 4 киберугрозы. Сможете их распознать?

Делитесь своими догадками в комментариях!💫

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — МОЯ ЖИЗНЬ

🧰 Категория PWN — Дом с привидениями
——————————————

🗂 В архив добавлены задания + райтапы:

🔵Разное - Isolated
🔵Веб - Flag checker

Приятного хакинга!

Читать полностью…

Анализ безопасности корпоративных МФУ Konica Minolta

МФУ часто выпадают из поля зрения ИБ-специалистов, хотя хранение учетных данных для сканирования создает серьезные риски

В новой статье мы провели исследование механизмов хранения и передачи данных в МФУ Konica Minolta, обратив особое внимание на различия в реализации для разных модельных рядов.

В статье разобрали:
⏺️анализ протоколов взаимодействия на примере разных моделей;
⏺️использование ПО Konica Minolta Data Administrator для проверки настроек;
⏺️процедура извлечения данных для целей аудита;
⏺️автоматизация сбора информации с сохранением работоспособности устройств;
⏺️справочная информация по умолчаниям для различных моделей.

Сохраняйте разработанный скрипт, который позволит получить полную структуру адресной книги в читаемом виде, что полезно для резервного копирования или аудита

#KonicaMinolta #ИнформационнаяБезопасность

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

💻 pocsuite3

Платформа с открытым исходным кодом для удалённого тестирования уязвимостей. Она включает в себя мощный механизм разработки PoC и множество полезных функций для профессиональных тестировщиков на проникновение и исследователей в области безопасности. Также в инструмент интегрированы API различных сервисов (ZoomEye, Seebug, Ceye, Shodan и др.).

Поддерживает три режима работы:
⏺️verify — проверка уязвимостей;
⏺️attack — эксплуатация уязвимостей;
⏺️shell — получение интерактивного shell-доступа к цели.

Архитектура
▶️Сбор данных: указание отдельного URL, использование файла с несколькими URL, применение сетевых поисковых систем (ZoomEye, Shodan и др.), поиск целей через пользовательские плагины.

▶️Загрузка PoC-скриптов: можно указать один или несколько путей к PoC или их каталогам, применять их фильтрацию по ключевым словам (например, CVE), а также создавать собственные плагины.

▶️Многопоточное сканирование: после указания целей и PoC фреймворк создаёт очередь из пар (цель, PoC) и обрабатывает ее с помощь пула потоков. PoC можно запускать в одном из трех режимов: --verify, --attack или --shell.

▶️Обобщение результатов: поддерживает сохранение результатов в виде JSON файлов, а также различные плагины, позволяющие представить результаты в HTML.

⬇️Установка
Возможна установка фреймворка через pip или через пакетный менеджер в Linux.

pip3 install pocsuite3
#or
sudo apt update
sudo apt install pocsuite3

Использование
1️⃣В режиме console похож на Metasploit Framework.

➡️Команда help предоставляет информацию о возможных командах.
➡️Чтобы увидеть список всех PoC-модулей, можно использовать команды list или show all.
➡️Для загрузки определённого модуля необходимо использовать команду use <module>.
➡️Cоответствующие параметры в модуле задаются через команду set.

2️⃣Использование фреймворка через командную строку.

pocsuite -r poc.py -u https://example.com
pocsuite -r poc.py -f url.txt
pocsuite -r poc.py --dork-quake 'app:"F5_BIG-IP"'
pocsuite -r poc.py --dork-censys 'thinkphp'

#tools #python #pentesting

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

PyInstaller: Упаковка Python-приложений в исполняемые файлы

PyInstaller — инструмент для создания автономных исполняемых пакетов из Python-скриптов. Пользователь может запускать собранное приложение без установки интерпретатора Python или каких-либо модулей. PyInstaller анализирует исходный скрипт, обнаруживает все необходимые модули и библиотеки, после чего собирает их копии вместе с интерпретатором Python в одну папку или, опционально, в один исполняемый файл.

👉Преимущества
- Работает с Python версий 3.8–3.14
- Поддерживает Windows (32/64-bit, ARM64), Linux (glibc/musl), macOS (x86_64/arm64)
- Корректно упаковывает популярные пакеты: numpy, PyQt5/PyQt6, PySide2/PySide6, wxPython, matplotlib и другие
- Поддерживает код-сайн на macOS
- Включает MS Visual C++ DLL на Windows
- Не требует кросс-компиляции (сборка выполняется на целевой платформе)

⬇️Установка

sudo apt install pyInstaller

Проверка

pyInstaller -h

⏺️Создание одно папочного пакета (режим по умолчанию)

pyinstaller script.py

Создает папку dist/script/ с исполняемым файлом и всеми зависимостями

⏺️Создание однофайлового исполняемого пакета

pyinstaller --onefile script.py

Создает один исполняемый файл dist/script.exe (или script на Linux/macOS), который распаковывается во временную папку при запуске

⏺️Добавление дополнительных файлов данных

pyinstaller --add-data "config.ini:." --add-data "images:images" script.py

Формат: "source:dest_dir". Для Windows разделитель — ;, для Linux/macOS — :.

⏺️Указание путей поиска импортов

pyinstaller --paths ./external_libs --paths ./helpers script.py

⏺️Исключение модулей

pyinstaller --exclude-module tkinter --exclude-module test script.py

⏺️Упаковка веб-приложения (Flask/Django)

pyinstaller --onefile --add-data "templates:templates" --add-data "static:static" --hidden-import jinja2 run.py

⏺️Создание пакета для многократного использования с очисткой кэша

pyinstaller --clean --distpath ./release --workpath ./build_tmp --onefile script.py

🔎Ограничения и требования
- Cборка выполняется на той же ОС, для которой создается пакет (не кросс-компиляция)
- Поддерживаются указанные версии (Python 3.10.0 содержит баг, несовместимый с PyInstaller)
- Требуются ldd, objdump, objcopy (пакет binutils)
- Однофайловые пакеты включают интерпретатор и библиотеки, что увеличивает размер (обычно 5–50 МБ)
- Некоторые антивирусные программы могут ложно срабатывать на упакованные приложения

#PyInstaller #tool #pentest #Python

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Cloudlist: Инструмент для сбора активов из облачных провайдеров

Cloudlist — утилита с открытым исходным кодом от projectdiscovery, предназначенная для получения перечня активов (Assets) из множества облачных провайдеров. Инструмент ориентирован на использование командами защиты (blue team) для улучшения управления поверхностью атаки (Attack Surface Management) путем поддержания централизованного списка активов в различных облачных средах с минимальными усилиями по настройке.

👉Возможности
- Поддержка множества провайдеров (AWS, GCP, Azure, DigitalOcean, Linode, Alibaba, Cloudflare, Fastly, Heroku, Kubernetes и другие)
- Гибкая фильтрация по провайдерам, сервисам, идентификаторам
- Несколько форматов вывода (JSON, plain text, stdout для интеграции с другими инструментами)
- Исключение приватных IP-адресов при необходимости
- Простое добавление новых провайдеров
- Два подхода к GCP (организация через Asset API или проекты через сервисные API)

⬇️Установка

git clone https://github.com/projectdiscovery/cloudlist.git
cd cloudlist/cmd/cloudlist
go build .
sudo mv cloudlist /usr/local/bin/

Проверка

cloudlist -h

Конфигурация Cloudlist использует YAML-файл конфигурации для хранения учетных данных провайдеров. По умолчанию: ~/.config/cloudlist/provider-config.yaml

⏺️Пример базовой конфигурации

#AWS
- id: aws-prod
  aws:
    access-key: AKIA...
    secret-key: ...
    region: us-east-1

#GCP
- id: gcp-prod
  gcp:
    service-account-json: /path/to/sa-key.json
    project: my-project-id

#Azure
- id: azure-dev
  azure:
    subscription-id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
    client-id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
    client-secret: ...
    tenant-id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

⏺️Расширенная конфигурация для GCP (организация через Asset API)

- id: gcp-org
  gcp:
    service-account-json: /path/to/org-sa.json
    asset-discovery: true          #использование Asset API
    organization-id: "1234567890"  #ID организации
    projects:                      #ограничение проектами (опционально)
      - project-1
      - project-2

⏺️Получение всех активов из всех настроенных провайдеров

cloudlist

⏺️Получение активов только от конкретных провайдеров

cloudlist -p aws,gcp,azure

⏺️Тихий режим (только результаты, без лишнего вывода)

cloudlist -silent

⏺️Подробный вывод с расширенными метаданными

cloudlist -p aws -extended-metadata -v

⏺️Инвентаризация всех EC2-инстансов в AWS

cloudlist -p aws -s ec2 -json | jq '.'

⏺️Получение всех доменных имен из Cloudflare

cloudlist -p cloudflare -s domain -host

⏺️Поиск публичных IP-адресов во всех облаках

cloudlist -s publicip -ep -silent > public_ips.txt

⏺️Интеграция с httpx для проверки HTTP-сервисов

cloudlist -p aws,gcp -s ec2,compute -host | httpx -title -status-code

🔎Ограничения и требования
- Требуются корректно настроенные ключи доступа для каждого провайдера
- Требует включения Cloud Asset Inventory и соответствующих разрешений на уровне организации
- Необходимы права на чтение ресурсов (рекомендуется использовать read-only ключи)
- Массовые запросы могут учитываться в квотах провайдеров

#Cloudlist #tool #pentest #Asset

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🔎flare-vm

Сборник скриптов для установки программного обеспечения в системах Windows, позволяющий легко настроить и поддерживать среду для реверс-инжиниринга на виртуальной машине.

FLARE-VM был разработан для решения проблемы подбора инструментов для реверс-инжиниринга и основан на двух основных технологиях:
1️⃣Chocolatey — это система управления пакетами Nuget для Windows, где «пакет» — это, по сути, ZIP-файл, содержащий установочные скрипты PowerShell, которые загружают и настраивают определенный инструмент.
2️⃣Boxstarter использует пакеты Chocolatey для автоматизации установки программного обеспечения и создания повторяющихся сред Windows на основе скриптов.

↗️Системные требования
FLARE-VM следует устанавливать ТОЛЬКО на виртуальную машину, которая должна соответствовать следующим требованиям:
⏺️Windows ≥ 10;
⏺️PowerShell ≥ 5;
⏺️Объем диска не менее 60 ГБ и объем оперативной памяти не менее 2 ГБ;
⏺️Имена пользователей без пробелов и других специальных символов;
⏺️Подключение к Интернету;
⏺️Любое антивирусное решение (например, Защитник Windows) отключены;
⏺️Обновления Windows отключены.

Установка
▶️Открываем Powershell от имени администратора и загружаем установочный скрипт installer.ps1

(New-Object net.webclient).DownloadFile('https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1',"$([Environment]::GetFolderPath("Desktop"))\install.ps1")

▶️Снимаем с него блокировку Unblock-File .\install.ps1.
▶️Делаем файл исполняемым Set-ExecutionPolicy Unrestricted -Force.
▶️И, наконец, запускаем его .\install.ps1 и далее выбираем список необходимых инструментов для реверс-инжиниринга
▶️Делаем снапшот VM, чтобы в случае последующего анализа программ быстро откатиться к первоначальному состоянию.

#tools #vm #reverse_engineering

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…