Прямой эфир «Monthly Cloud News: Лучшие ходы и рекорды 2024 года» 🏆
Встречаем новый 2025 год вместе с подкастом Monthly Cloud News. Приглашаем вас на онлайн-стрим, где подведем IT-итоги уходящего года, поговорим о трендах в машинном обучении, безопасной разработке и аналитике данных. А ещё попробуем заглянуть в будущее и предположить, как станут развиваться технологии в 2025 году.
⏰ Когда: 13 декабря в 15:00 МСК
📍 Где: онлайн
Ждём на стриме всех, кто интересуется облачными технологиями. Отвечайте на вопросы ведущих в чате трансляции — самых быстрых и внимательных ждут подарки.
Мероприятие бесплатное, регистрация по ссылке →
Читать полностью…
Запись на курс Курс «Тестирование Веб-Приложений на проникновение (WAPT)» продлится до 20 декабря! 😎
🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома
Содержание курса:
✔️ 65 рабочих и 16 экзаменационных тасков в лаборатории
🔸 эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
🔸 SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
🔸 техники повышения привилегий, Client-side атаки (XSS, CSRF)
🥇 трудоустройство / стажировка для лучших выпускников
Получите практические навыки как в рабочих задачах, так и в Bug Bounty.
🚀 Пишите нам @
➡️ Подробнее о курсе
Читать полностью…
Veeam* выявила и устранила две серьезные уязвимости в Veeam Service Provider Console (VSPC), одна из которых получила почти максимальный балл по шкале CVSS — 9.9.
*Veeam разрабатывает решения для резервного копирования, восстановления данных и управления облачными и виртуальными средами, обеспечивая их доступность и защиту.
Подробности уязвимостей:
1️⃣ CVE-2024-42448 (критическая, CVSS 9.9)
🔸 Уязвимость позволяет удаленное выполнение кода на сервере VSPC через авторизованный агент управления.
🔸 Потенциальная угроза: полный контроль над системой и компрометация конфиденциальных данных.
“Эта уязвимость представляет значительный риск для организаций. Злоумышленники могут использовать ее для полного взлома серверов,” — Эрик Шваке, директор по стратегии кибербезопасности в Salt Security.
2️⃣ CVE-2024-42449 (высокая,
CVSS 7.1)
🔸 Уязвимость позволяет утечку NTLM-хэша учетной записи службы VSPC и удаление файлов на сервере.
🔸 Пострадавшие версии:
VSPC 8.1.0.21377 и более ранние версии сборок 7, 8.
Как защититься в будущем?
🔸 Регулярно обновляйте используемое ПО.
🔸 Настройте многоуровневую защиту: резервное копирование, проактивный мониторинг уязвимостей, эффективный план реагирования на инциденты.
🔸 Контролируйте безопасность не только своих систем, но и сервисов, которыми вы пользуетесь.
"Эти уязвимости подчеркивают важность своевременного патчинга и внедрения многослойных систем безопасности. Без таких мер компании подвергаются значительным угрозам," — Элад Луз, руководитель исследований в Oasis Security.
#новости
Читать полностью…
SSH без пароля 💻
С помощью открытого и закрытого ключей удалённый пользователь может войти в систему по SSH. Это более безопасно, чем использовать пароль, так как никто не сможет использовать метод брутфорс.
Давайте создадим такую сценку:
Клиент - ОС Ubuntu 💻
IP: 228.14.88.55
Хост - ОС Kali 💻
IP: 148.85.5.228
Сначала мы генерируем открытый и закрытый кллюч на нашей клиентской ОС.
shh-keygen -t rsa -b 4096
где, -t rsa - обозначает тип ключа, который нужно сгенерировать. RSA наиболее распространённый алгоритм. -b 4096 - этот ключ, указывает кол-во бит в создаваемом ключе.
При выполнении этих шагов у нас запросили ввести кодовую фразу. Эта фраза будет использована для повышения безопасности при удалённом входе по SSH.
Проверим директорию, в которой эти файлы были сохранены (
/home/<USER>/.ssh/):
ls -la
Теперь нужно отправить копию файла открытого ключа
id_rsa.pub на kali.
В этом примере мы будем использовать имя пользователя и пароль root для копирования файла открытого ключа:
ssh-copy-id root@148.85.5.228
Проверить, что ключ действительно был добавлен можно в файле:
cat authorized_keys
Затем мы можем отредактировать файл конфигурации SSH(
/etc/ssh/sshd_config) в Kali, чтобы разрешить аутентификацию с открытым ключом:
PubkeyAuthentication yes
PasswordAuthentication no
Перезапустим ssh демона
SYSTEMDservice ssh restart или sudo systemctl restart ssh
OpenRC re-service ssh restart
Проверям командой ниже и всё должно работать:
ssh root@148.85.5.228
Читать полностью…
Кто такой TI-аналитик и как им стать
Интересуетесь карьерой в сфере кибербезопасности? Новый вебинар из серии «Лучше звоните PT ESC» поможет разобраться в работе специалиста по анализу киберугроз.
Присоединяйтесь, чтобы узнать
🔎Из чего складывается повседневная работа
🔝 Что нужно знать и уметь, чтобы стать TI-аналитиком
🛠 Какие системы и платформы помогают в сборе, анализе данных и мониторинге угроз
Вебинар пройдет 12 декабря в 14:00. Не забудьте зарегистрироваться ⬇️
Читать полностью…
Что делать, когда нужно просмотреть огромное количество веб-приложений?
📷 Gowitness - это утилита для автоматического создания скриншотов веб-сайтов, написанная на Golang, которая использует Chrome Headless для создания скриншотов веб-интерфейсов с помощью командной строки, а также имеет удобное средство просмотра отчетов для обработки результатов.
Установка, запуск и отчет в 3 шага
1️⃣Скачиваем саму утилиту
sh go install github.com/sensepost/gowitness@latest
2️⃣ Запускаем тестовое сканирование
gowitness scan single -u https://codeby.games --write-csv
3️⃣ Создаем отчет
sh gowitness report server --port 8080 --screenshot-path ./screenshots
Основная цель gowitness - делать скриншоты веб-сайтов (и делать это хорошо!), при необходимости сохраняя любую информацию, собранную в процессе работы. Тем не менее, краткий список функций включает в себя::
🔵Создание скриншотов веб-сайтов, конечно..., но быстро и точно!
🔵Сканирование списка URL-адресов, CIDR, результатов Nmap, Nessus
🔵Возможность получать и сохранять данные (например, журнал запросов, журналы консоли, заголовки, файлы cookie и т.д.)
🔵Запись данных во множество форматов (база данных sqlite, jsonlines, csv и т.д.)
🔵И многое, многое другое!
Читать полностью…
JWT_TOOL
🛡 JSON Web Token Toolkit v2 - это инструментарий для проверки, подделки, сканирования и фальсификации JWT (веб-токенов JSON).
Его функционал включает в себя:
*️⃣Проверку действительности токена
*️⃣Тестирование на наличие известных эксплойтов:
*️⃣Проверка на наличие неправильных настроек или известных уязвимостей
*️⃣Изменение значений в запросе, с целью спровоцировать неожиданное поведение
*️⃣Проверка достоверности секретного файла/ключевого файла/открытого ключа/ключа JWKS
*️⃣...и многое другое!
👉 Установка с использованием Python
git clone https://github.com/ticarpi/jwt_tool
python3 -m pip install -r requirements.txt
👉 Пример использования
python3 jwt_tool.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJsb2dpbiI6InRpY2FycGkifQ.aqNCvShlNT9jBFTPBpHDbt2gBB1MyHiisSDdp8SQvgw
Чтобы подробнее узнать о том, что такое JWT, для чего они предназначены, а также полный рабочий процесс, позволяющий тщательно протестировать их на наличие уязвимостей, распространенных недостатков и непреднамеренных ошибок в коде вы можете перейти по ссылке
JWT.ATTACK.PLAYBOOK.
Читать полностью…
Готовы выпустить продукт? А точно готовы? Проверим в новой статье
Вы разработали крутой продукт, добавили в него топовые фичи, протестировали сами — кажется, всё работает идеально. Но готов ли он к реальному миру? Ошибки и уязвимости могут быть незаметны на первый взгляд, но обязательно всплывут, когда продукт попадёт к пользователям. Чтобы не лишиться их доверия (и нервов), стоит провести полноценное тестирование.
Как понять, что продукт действительно готов к релизу?
С помощью методов тестирования ПО: «черный ящик» и «белый ящик». Эти подходы дают возможность проверить продукт как с точки зрения пользователя, так и под микроскопом кода.
👁 Что скрывается за методами тестирования?
🌟 «Черный ящик» — это работа с продуктом как обычный пользователь. Тестировщик видит только интерфейс: нажимает кнопки, заполняет формы, проверяет сценарии взаимодействия. Инфраструктура и код остаются для него «вне доступа». Этот метод помогает понять, насколько продукт удобен, совместим с разными устройствами и работает под нагрузкой.
🌟 «Белый ящик» — совсем другая история. Тестировщик погружается в код, чтобы найти баги, проверить чистоту написания, а также обнаружить уязвимости и логические ошибки. Метод позволяет заметить всё, что невидимо на поверхности.
🌟 «Серый ящик» — это золотая середина. Код частично открыт, что позволяет углубиться в важные блоки, не теряя из виду интерфейс и пользовательские сценарии.
Как работает тестирование?
Продукт подвергается испытаниям на всех уровнях — от мелких деталей до глобальной инфраструктуры:
1️⃣ Модульное тестирование (Unit) — проверяются отдельные фрагменты кода.
2️⃣ Интеграционные тесты — оцениваются связи между модулями.
3️⃣ End-to-End тестирование — продукт проверяется как единое целое.
На каждом этапе выявляются уникальные проблемы: от багов в логике до провалов в нагрузочных тестах.
Почему оба метода важны?
Тестирование «черного ящика» позволяет увидеть продукт глазами пользователя, выявить проблемы с функциональностью и UX. Но без «белого ящика» легко пропустить критичные уязвимости внутри кода.
В новой статье мы разобрали:
🔸 Преимущества и ограничения каждого метода
🔸 Когда стоит использовать «черный ящик», а когда лучше сосредоточиться на «белом»
🔸 Почему оптимальная стратегия — это их сочетание
Не дайте багам шанса испортить впечатление от вашего продукта! Узнайте больше и доведите своё ПО до совершенства, а Кодебай Вам в этом поможет ➡️ Читать статью в блоге
Читать полностью…
Основной целью киберпреступников является шпионаж и закрепление в системе для развития последующих атак
Данная группировка получила название TaxOff. В своих атаках злоумышленники использовали многопоточный бэкдор Trinper, написанный на С++.
✉️ Начальный вектор заражения — фишинговые письма.
⏺️В некоторых случаях письмо содержит ссылку на «Яндекс Диск», в котором хранится файл «Материалы.img». Одним из вложений, находящихся внутри этого файла, была html страница с фальшивой формой авторизации. Другие же являлись бэкдором Trinper.
⏺️А в остальных, злоумышленники распространяют ПО «Справки БК», содержащее два исполняемых файла bk.exe и DotNet35.exe.
💱 После выполнения bk.exe будет автоматически выполнен DotNet35.exe, содержащий бэкдор Trinper. В начале бэкдор десериализирует конфигурацию и получает оттуда имя, которое должно быть у него. Если оно отличается, то выполнение прекращается. В случае, если имена совпадают, бэкдор продолжает инициализацию и вызывает функцию для получения информации о компьютере жертвы
🔎 Далее Trinper запускает в разных потоках три класса, которые служат для:
⏺️коммуникации с С2 (происходит через генерацию сессионного ключа для AES-128-CBC, далее импортируется публичный RSA-ключ и становится возможен цикл общения с C2, использующийся для получения команд, получения и отправки результатов работы команд)
⏺️мониторинга файловой системы (перебирает все подключенные диски и рекурсивно ищет хранящиеся на дисках файлы с расширениями .doc, .xls, .ppt, .rtf, .pdf)
⏺️перехвата нажатия клавиш
Читать полностью…
Darkdump - скрипт, написанный на Python, который позволяет вытащить веб-сайты с домена .onion, относящиеся к запросу, введенному пользователем. Работает через поисковую систему Ahmia.
⬇️Установка:
git clone https://github.com/josh0xA/darkdump
cd darkdump
python3 -m pip install -r requirements.txt
🧅 Конфигурация Tor:
Для эффективной работы утилиты необходимо настроить Tor так, чтобы скрипт мог им управлять через порт управления Tor.
⏺️Для этого необходимо сперва скачать Tor:
sudo apt install tor
⏺️Затем настроить файл
/etc/tor/torrc, добавив в него порт управления и хэшированный пароль. Пароль, в свою очередь можно получить так:
tor --hash-password "your_password"
⏺️Остается запустить сервис Tor
sudo systemctl start tor.service
Запуск утилиты:
python3 darkdump.py -q "free movies" -a 10
🚩 Возможные флаги:
-q - запрос пользователя
-a - количество результатов, которые вы хотите получить
-p - использовать tor proxy для парсинга
-i - парсить изображения и визуальный контент с сайта
-s - парсить сам сайт на наличие контента и искать ключевые слова
Читать полностью…
Госдума приняла поправки, значительно усиливающие ответственность за утечки и неправомерный оборот персональных данных.
❗️Главной целью поправок является стимулирование компаний к увеличению инвестиций в кибербезопасность.
Что же изменилось?
🔹 Введены многократные увеличения штрафов для граждан, должностных и юридических лиц в зависимости от количества скомпрометированных данных:
• 1-10 тыс. субъектов/10-100 тыс. идентификаторов: Граждане 100-200 тыс. руб., должностные лица 200-400 тыс. руб., юрлица 3-5 млн руб.
• 10-100 тыс. субъектов/100 тыс. - 1 млн идентификаторов: Граждане 200-300 тыс. руб., должностные лица 300-500 тыс. руб., юрлица 5-10 млн руб.
• >100 тыс. субъектов/ >1 млн идентификаторов: Граждане до 400 тыс. руб., должностные лица до 600 тыс. руб., юрлица до 15 млн руб.
🔹При рецидиве нарушений юридические лица будут платить штрафы в размере от 1 до 3% от годовой выручки, но не менее 20 млн и не более 500 млн рублей.
🔹 Усилена ответственность за утечку и незаконное использование биометрических данных (штрафы снижены для должностных лиц, но введена уголовная ответственность, а нарушителям грозит до 4 лет лишения свободы, а при корыстных мотивах или утечке данных несовершеннолетних — до 10 лет).
🔹 Предусмотрены штрафы за несвоевременное уведомление о планах обработки данных и за отказ в заключении договоров с потребителями, отказавшимися от биометрической идентификации.
🔹 Для компаний смягчающими обстоятельствами являются: инвестиции в ИБ, отсутствие нарушений и высокий уровень цифровой зрелости.
«Закон, в случае его подписания Президентом, вступит в силу по истечении 180 дней после дня его официального опубликования»
Читать полностью…
WFuzz 🔑
WFuzz — это еще один инструмент для взлома паролей методом перебора, такой же, как Medusa и THC Hydra. Еще одна особенность программы — поиск скрытых ресурсов, таких как сервлеты, каталоги и скрипты. Инструмент также поддерживает несколько типов инъекций с несколькими словарями. WFuzz также может находить инъекционные уязвимости в приложении, такие как XSS-инъекции, SQL-инъекции и LDAP-инъекции. WFuzz — это не просто средство для взлома паролей; программа также позволяет пользователям обнаруживать уязвимости и обеспечивать безопасность веб-приложений в целом.
Использование:
wfuzz -c -z file,<PATHTOWORDLIST> --hc 404 http://<IP>/FUZZ
Читать полностью…
RainbowCrack🗝
RainbowCrack - взламывает хеши с "радужными таблицами". RainbowCrack использует алгоритм компромисса времени и памяти для взлома хешей. Он отличается от хэш-взломщиков, которые используют алгоритм грубой силы.
Радужная таблица — это предварительно вычисленная таблица для кэширования выходных данных криптографической хеш-функции, обычно используемой для взлома хэшей паролей. Пароли обычно хранятся не в текстовой форме, а в виде хеш-значений. Если такая база данных хешированных паролей попадет в руки злоумышленников, они могут использовать предварительно вычисленную радужную таблицу для восстановления паролей в виде открытого текста. Распространенной защитой от этой атаки является вычисление хешей с использованием функции получения ключей, которая добавляет «соль» к каждому паролю перед его хешированием, при этом разные пароли получают разные соли, которые хранятся в виде обычного текста вместе с хешем.
Список таких таблиц для скачивания:
🧾http://project-rainbowcrack.com/table.htmЧтобы создать свою таблицу, воспользуемся командой:
rtgen md5 loweralpha 1 4 0 1000 1000 0
где - md5, создаёт радужную таблицу для хеша md5. loweralpha использует только строчные буквы. 1 - минимальная длина пароля, 4 - максимальная длина пароля. Пустые пробелы - индекса таблицы, длина цепочки и номер цепочки установлены на 1000.
Таблица будет находиться в каталоге
/usr/share/rainbowcrack
Для взлома хеша MD5 пароля состоящего из четырех символов, будем использовать созданную нами ранее радужную таблицу, но перед этим необходимо отсортировать радужную таблицу с помощью следующей команды:
rtsort .
Теперь используем RainbowCrack для взлома хеша пароля:
rcrack . -h [ХЕШ md5]
Читать полностью…
#новости
⚡️ В канун Нового года на Северный Полюс совершена серия загадочных атак, которые ставят под угрозу доставку новогодних подарков.
Сегодня, администрацией Деда Мороза было обнаружено, что центральная система распределения подарков взломана. Кто-то оставил сообщение с угрозой:
“Если до 29 декабря злоумышленников не найдут, никто не получит подарков” 🎁
Для поиска уязвимостей и восстановления доступа к системе
было принято решение привлечь для помощи участников “Зимних Хакеров” ❄️Примите участие в спасении праздника!⭐️ Правила игры:🔸 Задания появляются не по расписанию — внимательно следите за анонсами!
🔸 Как только появляется новое задание, старое исчезает — всего 10 заданий
🔸 За каждое задание вы получите уникальный ключ
🗝🔸 Чем больше ключей, тем выше шанс выиграть, но даже с одним ключом есть шанс!
🔸 Розыгрыш состоится 30 декабря через рандомайзер
🎁🔔 Первое задание станет доступно уже завтра, не пропустите!
🚨 После анонса каждое задание актуально до появления нового! Внимательно следите за анонсами в нашем канале и переходите в наш бот: @
Читать полностью…
Команда аналитиков ANY.RUN опубликовала результаты своего исследования, связанные с использованием злоумышленниками повреждённых вредоносных файлов для обхода систем обнаружения.
✏️ Сама атака довольно простая и заключается в следующем:
⏺️Злоумышленники используют поврежденный файл, например docx
⏺️Когда жертва открывает его в Word, программа сразу же предлагает восстановить содержимое файла и успешно это делает
⏺️Внутри восстановленного файла находится QR-код с фишинговой ссылкой.
🚨 Docx — не единственный формат файлов, используемый злоумышленниками. Они также использует повреждённые архивы с вредоносными файлами внутри, которые легко обходят спам-фильтры, так как средства защиты не могут просмотреть их содержимое из-за повреждения. После загрузки в систему такие инструменты, как WinRAR, легко восстанавливают поврежденный архив, делая его содержимое доступным для жертвы.
❓ Почему же СЗИ не видят угрозы в этих файлах и не предупреждают пользователя?
Большинство антивирусных программ и автоматизированных инструментов не оснащены функцией восстановления, которая есть в таких приложениях, как Word или WinRAR. Это мешает им точно определять тип повреждённого файла, который в том числе узнается с помощью магических байтов в заголовках файлов, что приводит к неспособности обнаружить и устранить угрозу.
Посмотреть данную атаку в изолированной среде можно в песочнице.
Читать полностью…
Сканим, все, что можно и нельзя
Сканер уязвимостей (Vulnerability scanner) – это незаменимый инструмент для проверки систем, приложений и сетей на наличие уязвимостей, которые могут быть использованы злоумышленниками.
Виды сканирования:
🏳️ WhiteBox: Сканирование выполняется изнутри сети, обеспечивая более полный анализ уязвимостей. Однако, такой подход менее реалистичен с точки зрения атаки злоумышленника.
🏴 BlackBox: Сканирование выполняется извне сети, имитируя реальную атаку. Этот метод позволяет обнаружить уязвимости, доступные извне, но может пропустить уязвимости внутренних систем.
Оптимальный подход заключается в сочетании обоих методов, начиная с BlackBox сканирования, а затем переходя к WhiteBox.
Выбор продукта (бесплатные решения) :
1️⃣ Greenbone Vulnerability Management (бывший OpenVAS)
➕ мощный и функциональный, обширная база данных уязвимостей, хорошая интеграция с другими системами, псевдо-открытый исходный код
➖ может быть сложным в настройке и использовании для новичков, скорость сканирования может быть не самой высокой.
2️⃣ Tenable Nessus
➕ обширная база данных уязвимостей, интуитивно понятный интерфейс.
➖ бесплатная версия имеет ограничения по количеству сканируемых IP-адресов и функциональности.
3️⃣ Gobysec / Goby
➕ есть расширения, API, выгружает отчёты, хорошо подходит для анализа веб-приложений.
➖ может быть сложным для начинающих, основная функциональность доступна в платной версии.
4️⃣ Tsunami-security-scanner (связка nmap + плагин vulners + ncrack и все завернуто в docker)
➕ возможность создания отчётов в форматах LaTeX (по умолчанию), md, html и json, использование Docker упрощает установку и использование.
➖ зависит от нескольких инструментов, что может усложнить настройку и поддержку.
5️⃣ Flan Scan (использует связку nmap + vulners)
➕ простота использования, быстрый старт благодаря использованию nmap и vulners.
➖ ограниченные возможности по сравнению с более мощными сканерами, база данных уязвимостей ограничена базой vulners.
6️⃣ Rustscan
➕ сканирует все 65 тыс. портов за 3 секунды
➖ не предназначен для сканирования IP-адресов, нужен корректный URL.
7️⃣ Owasp ZAP
➕ отлично подходит для тестирования веб-приложений на проникновение, множество плагинов и функций.
➖ продукт не сканирует исключительно IP адреса и просит ввести корректный URL
8️⃣ W9Scan
➕ простой в использовании, автоматически преобразует IP-адрес в URL.
➖ ограниченные возможности, не подходит для глубокого анализа, зависит от корректной работы веб-сервера.
9️⃣ Acunetix
➕ мощный инструмент для автоматизированного сканирования уязвимостей, поддерживает широкий спектр технологий и приложений, удобный интерфейс. Обнаружение Zero-day: выявляет уязвимости, которые не входят в стандартные базы данных CVE.
➖ высокая стоимость, требует значительных ресурсов для работы, ограниченная бесплатная версия.
1️⃣0️⃣ Nmap
➕ гибкие настройки сканирования, широкий набор функций, многочисленные скрипты NSE.
➖ не является сканером уязвимостей в полном смысле слова, требует дополнительных инструментов для анализа найденных уязвимостей (например, vulners). Сканирование групп хостов может быть медленным.
Читать полностью…
❄️ Курс для BlueTeam “Реагирование на компьютерные инциденты”!
Запись до 12 декабря! 🎄
Программа курса:
🔸 Сбор необходимых материалов с Linux и Windows систем, в том числе дампов памяти
🔸 Анализ журналов безопасности и артефактов ВПО, написание правил для его обнаружения
🔸 Реагирование на основе данных из SIEM
🔸 Анализ вредоносных программ и оптимизация процесса реагирования на инциденты
🔸 Threat Intelligence & Threat Hunting
🥇 Сертификат / удостоверение о повышении квалификации
🚀 @
➡️ Узнать подробнее о курсе
Читать полностью…
С 2018 года производственный сектор понес колоссальные убытки от атак программ-вымогателей ✉️
По данным исследования Comparitech, эти инциденты привели к остановке работы 858 компаний по всему миру, а средний дневной убыток от простоя составил $1,9 млн.
Почему это критично?
Рэнсомвар не только замораживает производственные линии, но и срывает выполнение заказов, подрывает доверие клиентов и увеличивает время и стоимость восстановления.
В 2024 году число атак увеличилось почти вдвое: зарегистрировано 194 случая против 109 в 2023 году.
Особенно заметен рост утечек данных:
🔸 В 2023 году киберпреступники похитили
43,9 млн записей — это
в 40 раз больше, чем годом ранее.
🔸 Среди крупнейших утечек
VF Corporation – 35,5 млн записей и
PharMerica – 5,8 млн записей
💸 Стоимость простоев и выкупов Средняя продолжительность простоя составляет
11,6 дней, но может варьироваться от нескольких часов до
129 дней. Основные убытки:
🔸 Demant (2019): $95 млн на восстановление
🔸 TSMC (2018): $85 млн за 3 дня простоя
🔸 WestRock (2021): $79 млн убытков, включая $50 млн от потерь в производстве
Средняя сумма выкупа с 2018 года составила
$10,7 млн. При этом известны случаи, когда требования доходили до
$200 млн.
👀 Интересный факт: Boeing в 2023 году отказалась платить $200 млн, и преступники выложили в открытый доступ
43 ГБ данных компании.
Наибольшее число атак пришлось на:
🔸 Транспортное и автомобильное производство – 130 атак
🔸 Пищевую промышленность – 124 атаки
По данным на осень 2024 года:
🔸 Подтверждено
137 атак,
🔸 Средняя продолжительность простоя —
11 дней.
#новости
Читать полностью…
В новой статье расскажем о трех полезных инструментах для OSINT, которые помогут в поиске информации и анализе сайтов.
1️⃣ Tracer — находите, где зарегистрирован никнейм:
🔸 Удобный поиск по сайтам с визуализацией результатов.
🔸 Логи и графики поиска сохраняются для анализа.
🔸 Настраиваемые конфигурации для кастомизации процесса.
2️⃣ GoogleFu — классификация данных из Google:
🔸 Ищет соцсети, блоги, пасты, изображения и многое другое.
🔸 Поддерживает редактирование конфигураций для таргетированного поиска.
🔸 Удобно структурирует результаты по категориям.
3️⃣ Argus — мощный инструмент для анализа сайтов:
🔸 Более 50 модулей для изучения сетей, веб-приложений и мер безопасности.
🔸 WHOIS, CMS, открытые порты, уязвимости CVE — всё в одном месте.
🔸 Легко интегрируется с API Shodan и VirusTotal.
➡️ Читать статью
Читать полностью…
☃️ Открытие зимнего сезона и новые задания на платформе Codeby Games!
Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе. Не упустите шанс провести зимние дни с пользой, прокачать свои навыки и стать лучшим!
Призы:
🥇1 место — Playstation 5 Digital Edition
🥈2 место — Nintendo Switch OLED
🥉3 место — Flipper Zero
4-10 место — 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на Codeby Games
📆 Сезон завершается 28 февраля
————————————
Новые задания:
⚙️ Категория Реверс-инжиниринг — Снежный змий
🔑 Категория Криптография — ДНК
🌍 Категория Веб — Тетрис
🚩 Желаем каждому провести зимние дни с комфортом и отличным настроением и до встречи на Codeby Games!
Читать полностью…
Имея даже 1 решенное задание есть шанс получить главный приз. Если еще не присоединились к конкурсу, самое время это сделать Новогодний CTF от S.E. x Codeby
Для решения доступно второе задание из 10:
🎅 Северный полюс
🎄 Категория: Веб
❄️ Уровень: лёгкий
🎁 Награда: 1 ключ
🎯 Описание:
Санта запустил новый сервис для сбора пожеланий к Новому году!
Говорят, где-то на его сервере спрятан особый подарок, но доступ к нему есть только у помощников Санты...
Читать полностью…
CAPA - инструмент с открытым исходным кодом, с помощью которого можно определять возможности исполняемых файлов. Позволяет сопоставлять неизвестные файлы с техникам из матрицы MITRE ATT&CK и каталогом поведения вредоносных программ. Так же показывает возможности файла с указанием на правила capa, с помощью которых они были определены.
⚙️ Для запуска требуется лишь передать название исполняемого файла:
./capa input_file
✏️При передаче флага
-vv выводится более подробное описание, в котором утилита сообщает, где были обнаружены признаки найденных возможностей. Благодаря этому повышается доверие к результатам программы и можно более подробно изучить исполняемый файл в IDA.
📝Правила capa
Для обнаружения возможностей программы утилита использует определенный набор правил, которые представляют из себя смесь правил OpenIOC, Yara и YAML. При большом желании и стремлении сделать проект лучше можно самому дописать правила, что позволит утилите в дальнейшем распознавать интересные методы в вредоносных программах
💱 Плагин для IDA Pro
При использовании IDA Pro, существует возможность работать с плагином
capa Explorer. Данный плагин помогает определять интересные области программы и создавать новые правила capa, используя непосредственно извлеченные функции из вашей базы данных IDA.
Читать полностью…
ffuf
ffuf — это быстрый веб-фаззер, написанный на Go, который позволяет выполнять типичное обнаружение каталогов, обнаружение виртуальных хостов (без записей DNS), а также фаззинг параметров GET и POST.
Использование:
ffuf -w [/path/to/wordlist] -u [URL/FUZZ]
Читать полностью…
Российские СМИ сообщили о задержании в Калининграде одного из самых известных киберпреступников — Михаила Павловича Матвеева, известного в сети под псевдонимами WazaWaka, Uhodiransomwar, m1x и Boriselcin 👀
🗣️ Согласно данным агентства РИА Новости, суд уже зарегистрировал уголовное дело против Матвеева, который обвиняется в создании вредоносного ПО. В материалах дела утверждается, что в январе 2024 года он разработал новую версию программ-вымогателей.
Имя Матвеева впервые стало известно благодаря расследованию журналиста Брайана Кребса в 2022 году.
✏️В 2023 году Министерство юстиции США обвинило его в организации атак программ-вымогателей на ряд организаций, включая департамент полиции Вашингтона и медицинские учреждения Нью-Джерси.
🔖 Кроме того, Матвеев был связан с такими группировками, как Babuk, Conti, Darkside, Hive и LockBit. За информацию, которая помогла бы задержать Матвеева, США объявили награду в $10 млн.
#новости
Читать полностью…
Команда Codeby ищет талантливого руководителя команды пентестеров! 😎
Что нужно делать:
🔸Ставить задачи пентестерам и контролировать их выполнение.
🔸При необходимости искать (при помощи HR) и обучать новых сотрудников.
🔸В случае необходимости самостоятельно искать уязвимости на проектах.
🔸Готовить отчет о проделанной работе для заказчиков и руководства.
🔸Оценивать новые входящие проекты по стоимости и срокам.
🔸Взаимодействовать с другими отделами.
🔸Работать в Битрикс24.
Что нужно:
🔸Обладать необходимыми навыками и знаниями в обозначенной области и иметь релевантный опыт работы.
Что предлагаем:
🔸Белая з/п от 350 т.р.
🔸Полный рабочий день,
🔸График работы: удаленный/гибрид
🔸IT-аккредитация (компания зарегистрирована в регионе, возможна IT-ипотека).
🚀 Для отклика пишите: @
Порекомендуйте вакансию знакомым — мы отблагодарим!
Читать полностью…
Главная аналитическая конференция по кибербезопасности Код ИБ ИТОГИ в Москве совсем скоро!
🗓 5 декабря
📍 Москва, отель Palmira Business Club (ул. Новоданиловская набережная 6, к.2)
Конец года — лучшее время, чтобы в кругу профессионалов изучить аналитику, узнать последние тренды ИБ и прогнозы для принятия верных решений. Поэтому ждем вас на конференции Код ИБ ИТОГИ.
В программе:
📌 3 дискуссии
— CISO говорят
— Стартапы говорят
— БОССЫ кибербеза говорят
📌 6 тематических сессий
— Защита инфраструктуры
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Культура кибербезопасности
— Комплаенс
А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера
🎁 И новогодний сюрприз каждому активному участнику
Глубокая аналитика, уникальный экспертный контент, жаркие дискуссии и непринужденная атмосфера: не пропустите главную аналитическую конференцию в сфере кибербеза!
Регистрируйтесь уже сейчас. Участие бесплатное, количество мест ограничено.
Читать полностью…
Рассмотрим интересную на мой взгляд CVE-2017-11774 в Microsoft Outlook, позволяющую выполнить произвольный код в системе. Для данной уязвимости было выпущено исправление от Microsoft в октябре 2017 года, однако оно все равно позволяло злоумышленникам эксплуатировать уязвимость через подмену ключей реестра, которые указывают на внешний сайт, контролируемый хакерами.
⚙️ Эти ключи можно найти в разделе реестра:
⏺️HKCU\Software\Microsoft\Office\*\Outlook\WebView\
⏺️HKCU\SOFTWARE\Microsoft\Office\*\Outlook\Today
Сама уязвимость заключается в следующем:
1️⃣ Злоумышленник убеждает пользователя открыть фишинговое письмо с ВПО, меняющее ключи реестра и создющее новый параметр с именем URL, значением которого является вредоносная ссылка.
2️⃣Далее после изменения ключей, Outlook загружает и отображает HTML-страницу при выборе соответствующей вкладки, вместо стандартного содержимого.
3️⃣С этой страницы злоумышленники могут запускать VBScript или JScript с привилегиями, аналогичными запуску скриптов через cscript или wscript.
🚨 Злоумышленники могут использовать данный метод для сохранения доступа и распространения на другие системы, используя Outlook как C2-платформу. Так как процесс outlook.exe является доверенным, это упрощает обход существующих средств защиты.
❗️ Для осуществления проверки узлов на предмет эксплуатации CVE-2017-1774 необходимо проверить пути реестра во вложении на наличие каких-либо ссылок, ведущих на внешние ресурсы (http/https).
💱 Для автоматизации проверки реестра на узлах можно использовать готовый инструмент NotRuler.
Для предотвращения эксплуатации уязвимости требуется отключить параметр WebView для папок в Outlook, изменив следующие ключи реестра:
HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\WebView"Disable"= dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security"EnableRoamingFolderHomepages"= dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security"NonDefaultStoreScript"= dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security\"EnableUnsafeClientMailRules"= dword:00000000
Читать полностью…
Zmap 🕸
ZMap — это быстрый однопакетный сетевой сканер без сохранения состояния, предназначенный для обследований сетей в масштабе Интернета. На обычном настольном компьютере с гигабитным соединением Ethernet, ZMap способен сканировать все общедоступное адресное пространство IPv4 на одном порту менее чем за 45 минут.
Будьте аккуратнее, при использовании Zmap, так как при очень высокой нагрузке, утилита способна вывести из строя сетевое оборудование.
В настоящее время
ZMap имеет полностью реализованные модули зондов для сканирования TCP SYN, ICMP, DNS-запросов, UPnP, BACNET и может отправлять большое количество зондов UDP. Если вы хотите выполнить более сложное сканирование, обратите внимание на
ZGrab 2, родственный проект
ZMap, который выполняет рукопожатия на уровне приложения с отслеживанием состояния.
Использование:
sudo zmap -p <PORT> -r <IP>/23
Читать полностью…
🚩 Итоги осеннего сезона на платформе Codeby Games
Осенний сезон подошёл к концу, а это значит, что пришло время объявить победителей!
🥇Term1nal - Flipper Zero, любой курс Академии Кодебай, 1 год подписки на Codeby Games
🥈A1ERTA - любой курс Академии Кодебай, 3 месяца подписки на Codeby Games
🥉fgh - любой курс Академии Кодебай, 3 месяца подписки на Codeby Games
4-10 место - 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на Codeby Games
Благодарим всех за участие и желаем удачи в зимнем сезоне, который стартует 7 декабря! ☃️
Читать полностью…
32019