Прими участие в «Хакатоне по кибериммунной разработке 3.0» от «Лаборатории Касперского» с призовым фондом 1 000 000 рублей!

Регистрация на хакатон открыта до 15 ноября

Приглашаем разработчиков, аналитиков, архитекторов ПО, экспертов по информационной безопасности и студентов программирования и кибербезопасности. Участвуй индивидуально или в команде до 5 человек.

Тебе предстоит разработать систему удалённого управления автомобилем для каршеринга, устойчивую к кибератакам. Специальных знаний в автомобильной отрасли не требуется — задача будет понятна всем, независимо от опыта.

Это твой шанс прокачать навыки в кибербезопасности и пообщаться с экспертами «Лаборатории Касперского».

Ключевые даты:
• 15 октября – 15 ноября – регистрация участников
• 8 ноября – митап с экспертами и игра «Огнеборец»
• 15 ноября – старт хакатона
• 17 ноября – дедлайн загрузки решений
• 22 ноября – подведение итогов и объявление победителей

Регистрируйся, прояви себя и внеси вклад в безопасность каршеринговых сервисов

Читать полностью…

В третьей статье цикла обсудим архитектуру объектов USER и GDI, которые отвечают за графику и интерфейс Windows. Например, объект типа *Window* включает почти все элементы окна — кнопки, поля ввода, списки и чекбоксы, а GDI добавляет обрамление, фигуры, цвет и шрифты.

⚙️Память и пулы Windows

Вся физическая память распределяется через системный диспетчер. Он выделяет большие объёмы через VirtualAlloc() и мелкие через HeapAlloc(), которые на уровне ядра обращаются к NtAllocateVirtualMemory() и RtlAllocateHeap().

Память делится на Paged Pool (может выгружаться на диск) и NonPaged Pool (всегда в ОЗУ). При старте создаётся несколько базовых пула для каждого пользователя в своей сессии, а также для всех системных служб. Это помогает системно управлять памятью и разграничивать процессы.

⚙️USER и GDI: Память и объектная таблица

🔸 USER-объекты (интерфейсные элементы) хранятся в куче рабочего стола.
🔸 GDI-объекты (графические примитивы) получают память из NonPagedSessionPool.

Объекты GDI привязаны к контексту создающего их процесса. Например, передача кисти из одного процесса в другой с высокой вероятностью может привести к сбоям.

Дескрипторы объектов управляются глобальной таблицей в каждой сессии и индексируются в фиксированной таблице с лимитом в 65,536 объектов. Например, GDIProcessHandleQuota в реестре ограничивает доступный для процесса лимит (по умолчанию — 10,000 дескрипторов).

⚙️Объекты USER

USER-объекты индексируются в таблице дескрипторов каждой сессии, которая отображается в пользовательском пространстве каждого GUI-процесса. Указатель на таблицу USER хранится в win32k!gSharedInfo, и её записи отображаются через массив HANDLEENTRY, предоставляя быстрый доступ процессам без необходимости в вызовах ядра.

🗣️ GDI и USER объекты — основа графической подсистемы Windows, которая позволяет управлять интерфейсом и графикой на уровне ядра.

➡️ Читать подробнее

Читать полностью…

Согласно новому отчёту Email Threat Trends Report от Vipre Security Group, мошеннические атаки с использованием деловой переписки (BEC) составляют более половины всех фишинговых попыток, и производственные компании оказались особенно уязвимыми.

Основные данные отчёта
🔸 Из 1,8 миллиарда обработанных за квартал писем, 12% были классифицированы как вредоносные, а на BEC пришлось 58% всех фишинговых атак.
🔸 В 89% случаев атакующие выдавали себя за авторитетных лиц, чтобы вызвать доверие.
🔸 Производственный сектор оказался наиболее подверженным угрозам: 27% всех обработанных писем в этой отрасли оказались вредоносными.

⚙️ Рост атак на производственный сектор
На производственные компании стали чаще нацеливаться из-за возможности перенаправления платежей поставщиков на мошеннические счета. Кроме того, взлом корпоративных почтовых ящиков даёт доступ к другим компаниям и клиентам, позволяя отправлять поддельные запросы на документы для кражи учетных данных.

❓ Почему риск возрастает?
Многие сотрудники в секторе производства используют мобильные устройства для входа на рабочие площадки, что повышает вероятность попадания на фишинговые ссылки в условиях высокой занятости и стремления к соблюдению сроков.

🛡 ИИ в службе BEC-мошенничества
Отчёт отмечает, что 36% фишинговых писем с использованием BEC были созданы генеративным ИИ, что делает их более сложными для выявления. Злоумышленники также часто используют вложения и URL-перенаправления для обхода систем безопасности.

#новости #фишинг

Читать полностью…

Известная группа Lazarus, включая её подразделение BlueNoroff, провела очередную сложную кибератаку, эксплуатируя новую уязвимость нулевого дня в Google Chrome 👀

🔍 Исследователи Kaspersky обнаружили эту кампанию, когда вредоносное ПО Manuscrypt, используемое Lazarus, инфицировало систему в России. В этот раз группа использовала уязвимость в движке V8 Chrome, позволяющую получить полный контроль над заражёнными устройствами.

🗣️ Атака началась с сайта detankzone[.]com, который притворялся платформой DeFi-игры с NFT. Достаточно было посетить сайт через Chrome, чтобы сработала вредоносная программа, перехватывающая управление системой.

Ключевые уязвимости:
🔸 CVE-2024-4947: Переписывание критических структур памяти в компиляторе Maglev Chrome
🔸 Обход песочницы V8: Позволил выполнить произвольный код

#новости

Читать полностью…

Согласно исследованию ISACA на Европейской конференции 2024 года, специалисты по кибербезопасности всё чаще остаются в стороне при разработке политик по использованию ИИ.

✏️ Только 35% из опрошенных 1800 специалистов участвуют в создании таких политик, а 45% вовсе не задействованы в разработке, внедрении или управлении ИИ-решениями.

💡 Несмотря на растущее число компаний, разрешающих генеративный ИИ на рабочем месте, кибербезопасность не всегда интегрируется в новые AI-стратегии, о чем заявил Крис Димитриадис, Chief Global Strategy Officer ISACA.

🗣️ "Мы стремимся к инновациям и улучшению клиентского опыта, фокусируясь на этике и комплаенсе, забывая про кибербезопасность, которая жизненно необходима", — подчеркнул Димитриадис.

👀 По словам генерального директора ISACA, Эрика Пруша, управление рисками ИИ теперь лежит не только на CISO или CIO, а на всей команде, так как уязвимости зависят от каждого человека в организации.

Где уже применяется ИИ:
🔸 Автоматизация обнаружения и реагирования на угрозы (28%)
🔸 Безопасность конечных точек (27%)
🔸 Рутинные задачи (24%)
🔸 Обнаружение мошенничества (13%)

#новости

Читать полностью…

Под надежной охраной :)

Читать полностью…

🖥 C апреля 2024 года активно распространяется новая семья вредоносных программ, известная как WarmCookie (также именуемая BadSpace). По данным исследования Cisco Talos от 23 октября, эта программа обеспечивает устойчивый доступ к скомпрометированным сетям и часто служит для дальнейшей загрузки других вредоносных программ, таких как CSharp-Streamer-RAT и Cobalt Strike.

✔️ Методы заражения и функционал WarmCookie
WarmCookie передаётся через фальшивые письма с заманчивыми темами вроде предложений работы или счетов. Вредонос попадает в систему через вложения в письмах или встроенные гиперссылки. Его функционал включает:
🔸 выполнение команд
🔸 захват скриншотов
🔸 загрузка дополнительных вредоносных программ

🔍 Связь с TA866 и Resident backdoor
WarmCookie тесно связан с хакерской группой TA866. Его функционал схож с другой вредоносной программой, Resident backdoor, ранее использованной этой группировкой.

📈 Эволюция WarmCookie
WarmCookie продолжает развиваться: добавлены новые команды, улучшены механизмы стойкости и обнаружения песочниц. Эксперты прогнозируют дальнейшее усовершенствование программы для длительных кибершпионажных атак.

#новости

Читать полностью…

В новой статье серии посвящённой кибер-разведке, мы узнаем о нескольких полезных инструментах для OSINT. Рассмотрим два мощных решения для анализа доменов и один инструмент для поиска почты по никнейму.

✔️ Back-Me-Up — это инструмент для автоматизированного поиска уязвимостей, который комбинирует возможности множества утилит для извлечения URL из интернет-архивов и анализа утечек конфиденциальных данных.

Back-Me-Up собирает ссылки из таких источников, как Wayback Machine, а затем фильтрует их, чтобы выявить важную информацию, например, файлы с расширениями .sql, .bkp, .txt и другие. Это незаменимый инструмент для тех, кто занимается баг-баунти или OSINT-разведкой.

✔️ Enola-Finds — универсальный инструмент для сбора данных о доменах и веб-приложениях. Он использует сразу несколько утилит, таких как Nmap, Whois, Dirb, Nikto и SSLscan для сбора информации о хосте. Enola-Finds позволяет увидеть активные порты, версии сервисов, сертификаты SSL, а также другие важные данные, необходимые для кибер-исследования.

✔️ Наконец, Mailcat — это простой и удобный инструмент, который помогает найти существующие email-адреса по никнейму. Этот инструмент особенно полезен в ситуациях, когда нужно быстро и эффективно сопоставить ник с реальной почтой.

Если вам нужно быстро собрать информацию о доменах, просканировать хосты или узнать, какие email-адреса связаны с конкретным ником — эти инструменты могут стать отличными помощниками в вашем исследовании. В статье вы найдёте пошаговые инструкции по их установке и использованию.

➡️ Подробности и примеры использования — читайте в статье!

Читать полностью…

⚠️ Спустя всего несколько часов после восстановления работы крупнейшей цифровой библиотеки в мире, Internet Archive снова оказался в центре кибератаки.

21 октября несколько пользователей и СМИ сообщили о получении электронного письма якобы от команды Internet Archive, в котором был распространён украденный токен доступа к Zendesk — платформе для управления клиентскими запросами. В письме утверждалось, что организация не удосужилась своевременно изменить ключи API, которые были скомпрометированы через их GitLab.

«Как демонстрирует это сообщение, токен Zendesk с доступом к 800 000+ заявкам на info@archive.org, начиная с 2018 года, оказался в руках посторонних лиц», — говорилось в письме. «Если не у меня, то у кого-то другого».

*Хотя письмо было отправлено неавторизованным источником, оно прошло проверки безопасности, что указывает на отправку с серверов Zendesk.

Исследовательская группа Vx-underground прокомментировала в соцсети X:

«Похоже, что злоумышленники продолжают иметь доступ к системам Internet Archive и пытаются отправить сигнал».

Джейк Мур, советник по кибербезопасности из ESET, отметил:

«Важно, чтобы компании быстро проводили полные аудиты после атак, так как злоумышленники будут неоднократно проверять новые системы защиты».

Скомпрометированный файл конфигурации GitLab

🖥 Internet Archive ранее подвергся серии кибератак, включая DDoS-атаки, взлом с внедрением JavaScript-кода и утечку данных.

🔈 Группа BlackMeta, выступающая за палестинские интересы, взяла на себя ответственность за DDoS-атаки, однако за утечкой данных может стоять другая группа.

⌛ По данным BleepingComputer, хакер, стоящий за утечкой, утверждает, что получил доступ к файлу конфигурации GitLab на одном из серверов разработки Internet Archive. Этот файл содержал токен аутентификации, позволивший загрузить исходный код организации, который, вероятно, включал API-токены для системы поддержки Zendesk.

Internet Archive и его основатель Брюстер Кэйл пока не прокомментировали ситуацию.

#новости

Читать полностью…

⚡️ Согласно новому отчету Symantec за третий квартал 2024 года, группировка RansomHub стремительно вышла на первое место среди вымогательских сообществ по количеству успешных атак. Несмотря на то, что они начали свою деятельность всего в феврале, RansomHub удалось заявить о 191 жертве в Q3, что на 155% больше по сравнению с показателями предыдущего квартала.

🥇 Почему RansomHub так быстро набрал обороты?
Эксперты связывают их успех с мощной моделью "вымогательство как услуга" (Ransomware-as-a-Service), в рамках которой они активно вербуют опытных хакеров, предлагая им более выгодные условия сотрудничества по сравнению с конкурентами.

🔴 LockBit теряет позиции
Еще в начале года LockBit оставался лидером в мире вымогательского ПО, совершая втрое больше атак, чем ближайший конкурент Qilin. Однако, за третий квартал число атак, заявленных LockBit, сократилось на 88%, и теперь их число составило всего 188.

Это падение связывают с международной операцией правоохранительных органов, проведенной против LockBit в феврале 2024 года. Хотя группе удалось частично восстановиться во втором квартале, доверие со стороны их аффилиатов могло серьезно пострадать после того, как власти сообщили, что получили информацию, способную идентифицировать участников.

🔗 Qilin укрепляет позиции
На фоне ослабления LockBit, другая группа — Qilin — наращивает свои атаки. В третьем квартале число их жертв выросло на 44%, достигнув отметки в 140.

💡 Расхождение в цифрах
Symantec отмечает интересный факт: разница между количеством атак, заявленных группами на сайтах утечек, и фактическими случаями, расследованными исследователями, может быть значительной.

🗣️ Например, LockBit заявляет о 15% всех атак, но реально причастен лишь к 7%. Для RansomHub эта цифра составила 33%, хотя они заявляют о 15% всех атак. Это может объясняться тем, что не все жертвы попадают на сайты утечек — если компании платят выкуп быстро, данные о них могут не публиковаться.

💎 В третьем квартале 2024 года наблюдаются следующие тенденции в инструментах и тактиках, которые используют вымогатели:

🔸Использование встроенных средств Windows — хакеры активно эксплуатируют утилиты операционной системы для незаметного перемещения по сети и выполнения команд.
🔸Уязвимые драйверы — злоумышленники внедряют подписанные уязвимые драйверы, которые имеют доступ к ядру системы, что позволяет отключать защитное ПО.
🔸Удаленный доступ — легитимные программы для удаленного управления, такие как RDP, AnyDesk и Splashtop, используются для получения бэкдор-доступа к системе жертвы.
🔸Экфильтрация данных — кража данных перед шифрованием (двойное вымогательство) стала стандартом для большинства атак. Самым популярным инструментом для эксфильтрации данных является Rclone.

#новости

Читать полностью…

Yandex Cloud запустил сертификацию Security Specialist для тех, кто решает задачи по защите облачных систем

Статус сертифицированного специалиста подтвердит вашу квалификацию и повысит ценность на рынке труда, а подготовка к экзамену поможет систематизировать знания о платформе Yandex Cloud.

Вот какие темы будут на экзамене:

- Основы безопасности в облаке
- Аутентификация и управление доступом
- Сетевая безопасность
- Безопасная конфигурация виртуальной среды
- Шифрование данных и управление ключами
- Сбор, мониторинг и анализ аудитных логов
- Управление уязвимостями
- Защита приложений.

Подготовиться к экзамену помогут бесплатные курсы, вебинары, статьи и другие дополнительные материалы. Все это собрано на сайте программы сертификации. Переходите по ссылке, изучайте примеры вопросов и регистрируйтесь на экзамен. До конца 2024 года стоимость составит 5000 ₽ вместо 10 000 ₽!

Читать полностью…

FIDO Alliance опубликовал рабочий черновой вариант новых спецификаций для безопасного обмена учетными данными. Эти спецификации позволят пользователям безопасно переносить passkeys и все другие учетные данные между провайдерами.

💡 Представьте, что вы можете легко перейти с iPhone на Android и обратно, не теряя ни одного ключа безопасности!

Ключевые моменты:
🔸Спецификации включают Credential Exchange Protocol (CXP) и Credential Exchange Format (CXF).
🔸Они определяют стандартный формат для передачи учетных данных, включая пароли, passkeys и другие, на другой провайдер так, чтобы перевод был безопасным по умолчанию.
🔸Пользователи смогут использовать одни и те же ключи безопасности независимо от операционной системы или устройства.

Кто за этим стоит?
🔸Apple, Google, Microsoft и ведущие менеджеры паролей работают вместе — они создали специальные протоколы и форматы для безопасного обмена учетными данными между провайдерами.

🗣️ «Вход с помощью паролей снижает риск фишинга и исключает повторное использование учетных данных, делая вход на 75% быстрее и на 20% более успешным, чем при использовании паролей или паролей плюс второго фактора, например одноразового пароля (OTP) по СМС» — заявили в Альянсе.

#новости

Читать полностью…

Киберзащита на практике: как пентесты помогают предотвратить утечки данных

С каждым годом число кибератак на компании неуклонно растет, и злоумышленники становятся всё более изощренными. Главной целью хакеров могут быть не только коммерческие секреты, но и персональные данные клиентов, которые можно продать или использовать для шантажа. Утечка таких данных приводит к серьёзным финансовым и репутационным потерям для компаний, а также штрафам и санкциям со стороны регуляторов.

💡 Пентесты, или тестовые кибератаки, — это инструмент, который позволяет бизнесу лучше подготовиться к реальной угрозе. Компании проводят такие проверки, чтобы выявить слабые места в своей защите, протестировать систему безопасности и минимизировать риски от реальных атак.

❓ Почему пентесты важны для всех компаний?

▪️ Риски для бизнеса: Независимо от размера компании, она может стать жертвой кибератак. Угрозы могут исходить как от целенаправленных атак, так и от автоматизированных программ-взломщиков. Утечка данных или компрометация системы может привести к штрафам, убыткам и потере доверия со стороны клиентов.

▪️ Законодательные требования: Во многих отраслях пентесты становятся обязательными. Например, банки и финансовые организации обязаны ежегодно проводить тесты на проникновение и анализ уязвимостей. Центробанк требует от участников платежных систем соблюдать строгие стандарты кибербезопасности, а нарушение этих требований грозит санкциями.

▪️ Критическая информационная инфраструктура (КИИ): Компании, управляющие КИИ (транспорт, энергетика, финансы, здравоохранение и др.), обязаны регулярно проверять свои системы на предмет уязвимостей. В случае инцидентов, связанных с нарушением работы КИИ, это может повлечь за собой серьёзные последствия для жизни и здоровья людей, что делает киберзащиту критически важной.

🔴 Red & Blue teams и Purple teaming: как это работает?

▪️ Red team — это группа внешних специалистов, которая моделирует действия злоумышленников, пытаясь проникнуть в систему компании.
▪️ Blue team — это внутренняя команда информационной безопасности, которая должна отразить атаки и защитить системы.

📌 Purple teaming — это более современный подход, при котором Red и Blue команды работают в тесном взаимодействии. Он позволяет не только выявлять уязвимости, но и улучшать коммуникацию и совместные действия ИБ-специалистов.

🔒 Кому нужны пентесты и зачем?

➡️ Компании любого размера: Любая организация может стать жертвой кибератаки, вне зависимости от её размера или сферы деятельности.
➡️ Банки и финансовые организации: Пентесты для них — это не просто проверка, а обязательное условие соответствия требованиям регуляторов.
➡️ Субъекты КИИ: Утечки данных и сбои в работе этих компаний могут привести к катастрофическим последствиям, что делает кибербезопасность в этой сфере особенно важной.

✏️ Последствия кибератак:

✅ Штрафы за утечку персональных данных могут достигать 3% от годовой выручки компании или до 500 млн рублей.
✅ Крупные утечки могут привести к уголовной ответственности для должностных лиц, если будет доказано, что нарушения привели к серьезным последствиям.

🗣️ Плановые кибератаки и пентесты — это не просто инструмент проверки ИБ-систем. Это возможность для компаний подготовиться к реальным угрозам, минимизировать риски и защитить свой бизнес, данные клиентов и репутацию.

Читать полностью…

Компания Game Freak, известная разработкой популярной серии игр Pokémon, недавно столкнулась с крупнейшей кибербезопасностью в своей истории. Вот ключевые моменты:

✔️ Утечка данных:
🔸 Были скомпрометированы персональные данные 2606 сотрудников и партнеров Game Freak.
🔸 Атака произошла в августе 2024 года.

✔️ Раскрытая информация:
🔸 Кодовое имя следующего поколения игр Pokémon ("Gaia").
🔸 Кодовое имя неанонимированной игры Pokémon Legends: Z-A ("Ikkaku").
🔸 Кодовое имя следующей консоли Nintendo Switch ("Ounce").
🔸 Информация о будущих проектах и разработках.
🔸 Исходный код некоторых существующих игр Pokémon.
🔸 Концепт-арты и заметки по разработке.

✔️ Реакция Game Freak:
🔸 Компания подтвердила факт утечки данных в своем официальном заявлении.
🔸 Обратились к пострадавшим сотрудникам индивидуально.
🔸 Провели восстановление сервера и усиление мер безопасности.

🗣️ Утечка может повлиять на раскрытие информации о будущих проектах Pokémon до их официального анонса. Также, существует риск для персональных данных сотрудников Game Freak.

🟢 Компании Nintendo и The Pokémon Company пока не делали официальных заявлений по этому вопросу.

🗣️ Эта утечка считается одной из крупнейших в истории серии Pokémon и может иметь значительные последствия для будущих анонсов и выпусков игр в этой франшизе.

#новости

Читать полностью…

Apktool

Apktool - является одним из популярных инструментов Kali linux для реверс-инжиниринга приложений для Android.

Инструмент очень популярен у хакеров, поскольку позволяет разобрать APK-файл и собрать его занаво. Пока APK в разобранном состоянии, хакер может модифицировать его, как ему только захочется.

Программа apktool не устанавливается по умолчанию.

Пример использования программы:

# apktool decode app.apk 

Программа разберёт по полочкам APK и положит его в содержимое в каталог с таким же названием, как у APK-файла. После этого у вас есть возможность изменить любой файл. Использование apktool в самых мирных целях подразумевает возможность установки двух одинаковых приложений на телефон. Откройте файл AndroidManifest.xml и измените название пакета:

package=""

Здесь нужно ввести другое название пакета. После этого можно собрать APK заново. При сборке нужно подписать его тем же сертификатом, иначе ничего не выйдет.
Собираем:

# apktool build app app2.apk

Чтобы подписать приложение, можно использовать SmartAPKTools.

Читать полностью…

✔️ Вышла новая статья рубрики "Без про-v-ода"!

Сегодня мы тестируем три популярных прошивки для платы ESP8266: ESP8266-EvilTwin, ESP8266-Captive-Portal и PhiSiFi. Если вы уже пробовали deauther, пришло время познакомиться с другими прошивками, каждая из которых предлагает уникальные возможности.

⚙️ PhiSiFi объединяет функционал Evil-Twin и Captive-Portal, создавая поддельные точки доступа для захвата паролей и отключения пользователей от сети. Простой интерфейс и удобный Captive Portal делают её идеальной для тестирования беспроводной безопасности.

📎 EvilTwin и Captive-Portal тоже отлично работают, но уступают по функционалу и удобству. EvilTwin предлагает самописный интерфейс для создания фейковых точек доступа, а Captive-Portal больше подходит для развлечения и демонстрации захвата данных.

✔️ Читать подробнее

Читать полностью…

🎯Как защититься от сложных и целевых атак с учетом дефицита высококлассных кадров? Усильте ИБ-отдел мощным союзником.

Только представьте - умная и современная защита станет вашей страховкой в тот самый момент, когда сыграет человеческий фактор. Платформа Kaspersky Anti Targeted Attack совместно с Kaspersky EDR Expert представляет собой решение класса XDR нативного типа.

Для вас это означает:

- Автоматический сбор и хранение данных
- Всесторонний анализ и своевременное обнаружение
- Расширенные возможности защиты от сложнейших угроз
- Но лучше 1 раз увидеть, чем 100 раз услышать, верно?

👌 Запишитесь на бесплатную демонстрацию и оцените, как легко можно усилить вашу защиту без привлечения дополнительных ресурсов и специалистов

Реклама. ООО "КРАЙОН". ИНН 9717087315. erid: LjN8JsutK

Читать полностью…

🔔 Вторая часть серии статей о ядре Windows посвящена исследованию подсистемы Win32 и драйвера поддержки win32k.sys, рассматриваются переходы из пользовательского режима в режим ядра через таблицу системных сервисов SSDT.

🗣️ Статья включает практические примеры в отладчике WinDbg, так что знания можно сразу применить на практике. Рекомендуется к прочтению после первой части.

Подсистема Win32 в архитектуре Windows
🔸В Windows виртуальная память делится на область пользователя (User) и ядра (Kernel). На системах x64 используется только часть адресного пространства. Старшие 16 бит установлены в единицу, что позволяет по старшим битам адреса сразу определять, принадлежит ли объект ядру или пользователю.
🔸Win32, основная подсистема Windows, предоставляет базовые библиотеки окружения, такие как Kernel32, User32 и Gdi32, отвечающие за интерфейсы графики (GUI). Отдельное внимание уделено драйверу win32k.sys, который поддерживает работу графического интерфейса в ядре.

Файлы Csrss.exe, Gdi32.dll и Win32k.sys
🔸GDI (Graphics Device Interface) — это компонент для вывода графического контента на устройства. До NT4 он находился в пользовательском режиме, но в целях безопасности его перенесли в режим ядра, добавив win32k.sys. Теперь CSRSS (Client/Server Runtime SubSystem) обрабатывает только консольные задачи, а графика передана win32k.sys.

SSDT — System Service Descriptor Table
🔸SSDT позволяет выполнять системные вызовы в ядре с использованием SYSENTER/SYSCALL инструкций. Для каждой функции ядра есть уникальный "System Service Number" (SSN), который задает ее адрес в SSDT. Это обеспечивает быстрый и эффективный переход между режимами.
🔸Для графических функций существует отдельная "затененная" таблица — SSDT Shadow. Она действует только для GUI-приложений, тогда как консольные приложения используют основную таблицу SSDT#0.

⚙️ В статье приводится демонстрация работы SSDT и SSDT Shadow в отладчике WinDbg. Указатели на обе таблицы можно обнаружить, подключившись к процессу GUI.

➡️ Читать подробнее

Читать полностью…

В первой статье нового цикла копнем глубже в архитектуру ядра Windows и обсудим такие интересные сущности, как объекты и дескрипторы. Пройдемся по основным структурам — от EPROCESS, которая "идентифицирует" процесс, до TABLE_ENTRY, которая хранит дескрипторы. И да, это та самая база, на которой строятся античиты и антивирусы.

⚙️ Процессы и Потоки
Создание процесса начинается с вызова Kernel32!CreateProcess(), который через цепочку Ntdll → ядро попадает в Nt/ZwCreateFile(). Здесь создается основная структура процесса _EPROCESS, включающая ядро планировщика _KPROCESS. Каждый поток получает свою структуру _ETHREAD, связанную с _EPROCESS. Процессы идентифицируются по PID, а потоки по TID, что помогает ОС отслеживать и управлять их состоянием.

⚙️ Object, Handle и Identifier
В глазах ядра всё является *объектом* — от файлов до процессов. Каждый объект имеет дескриптор (handle), который предоставляет к нему доступ. Когда, например, открывается файл через CreateFile(), ядро создает объект и возвращает handle, по которому процесс может обращаться к объекту. Управление и подсчет ссылок на объекты происходит через два счетчика: Handle и Pointer, которые отслеживаются диспетчером объектов.

⚙️ Исследование объектов
На физическом уровне объект — это структура данных с заголовком OBJECT_HEADER. У него есть поле SecurityDescriptor, хранящее доступ к объекту (DACL/ACE). Обычно драйверы и API возвращают только тело объекта (смещение 30h), скрывая доступ к заголовку. Но, имея адрес объекта, можно получить и доступ к заголовку, что важно при анализе системной безопасности.

⚙️ Таблица Дескрипторов Процесса
Каждому процессу выделяется своя таблица дескрипторов HANDLE_TABLE. Это ускоряет доступ к дескрипторам и управляется системой автоматически, выделяя виртуальные страницы памяти. Размер одной записи — 16 байт, из которых первые 8 — это указатель на OBJECT_HEADER, а вторые — маска доступа GrantedAccess.

✏️ Продолжение следует: в следующей части обсудим больше интересных деталей системы, так что следите за обновлениями!

➡️ Читать подробнее

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Загадка

🎢 Категория Разное — Фрилансер

Приятного хакинга!

Читать полностью…

Кодебай на https://kubcsc.ru

Читать полностью…

Курс "Профессия Пентестер" — запись до 31 октября! 🎉

🙂 Научитесь атаковать сети, WEB-сайты, операционные системы и локальные устройства и проводить внутренний и внешний пентест
🙂 Участвуйте в BugBounty программах или постройте карьеру в сфере информационной безопасности

Полный цикл обучения:
⌨️ от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений
⌨️ от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети

Хотите стать пентестером? 👀 Присоединяйтесь к нам – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки!

🚀 @Codeby_Academy
🖥 Подробнее о курсе

Читать полностью…

Доклады по Application Security, интервью с экспертами ИБ и мастер-классы — на конференции SafeCode, 30 октября онлайн.

В программе вас ждут:
— Выступления спикеров про безопасность веба, фаззинг-тестирование, автоматизацию AppSec, криптографию, бинарные атаки, статический анализ, DevSecOps, защиту авторизации, угрозы генеративного ИИ.
— ВДНХ — видеоролики от компаний с их опытом в ИБ и AppSec.
— Интервью с экспертом ИБ Денисом Макрушиным, мейнтейнером CPython Никитой Соболевым, экспертом по кибербезопасности из Kaspersky Сергеем Головановым.
— Воркшоп по безопасным контейнерам.

Напоследок вы увидите мастер-класс, где хакер в прямом эфире взломает сайт конференции.

Подробности — на сайте SafeCode.

Билет на конференцию можно купить за свой счет со скидкой 15% по промокоду CodebyPentest

Также поучаствовать в SafeCode можно за счет компании, в которой вы работаете. Почему это выгодно не только вам, но и работодателю — организаторы рассказали в статье на VC.

Реклама. ООО «Джуг Ру Груп». ИНН 7801341446

Читать полностью…

Есть знания, которыми вы хотите поделиться? 👀
Мы в поисках авторов, которые смогут писать интересные и актуальные статьи для нашего канала на тему:

🔸 Кибербезопасность
🔸 Хакерские техники и методы защиты
🔸 Сканирование, тестирование на уязвимости
🔸 Анализ атак и практические рекомендации
🔸 Актуальные новости из мира ИБ

Что мы предлагаем:
💬 Стать частью крупнейшего ИБ сообщества
✔️ Заинтересованную аудиторию
🖥 Профессиональный нетворкинг в сфере ИБ
💸 Денежное вознаграждение до 25 тысяч рублей

Ждем вашего отклика! Пишите:
🚀 @cdbwzrd

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Sophie German

🎢 Категория Разное — Чаепитие

Приятного хакинга!

Читать полностью…

Wireshark

Wireshark - это анализатор сетевых пакетов. Анализатор сетевых пакетов, который захватывает сетевые пакеты и пытается как можно подробнее отобразить данные пакета.

Программа подходит также сетевым администраторам, которые могут использовать его для устранения неполадок в сети, и для студентов, которые хотят изучить строение сетевых протоколов.

# tshark -f "tcp port 80" -i <ваша сетевая карта>

Нас интересуют только пакеты с протоколом tcp с портом 80, передаваемые по адресу что мы указали в ключе -i. Сущетсвует версия с графическим интерфейсам, более удобная для тех, кто не привык к работе в терминале.

Читать полностью…

Hydra 👩‍💻

Интересный инструмент для взлома пары логин/пароль, Hydra один из самых полезных предустановленных инструментов Kali linux.
Это программа для взлома логина\пароля. Представим, что есть узел 123.45.67.89, на нём SSH, это можно понять используя nmap.
Давайте попробуем подобрать к SSH логин и пароль используя знаменитый rockyou.txt.

# hydra -P login.txt -P /usr/share/wordlists/rockyou.txt ssh://123.45.67.89

🔸Если вам уже известен логин или даже пароль, то можно заменить ключи и указать известный параметр.

# hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://123.45.67.89

или

# hydra -L login.txt -p qwerty123456seven /usr/share/wordlists/rockyou.txt ssh://123.45.67.89

🔸Вместо ключей -L/-P, можно использовать -C, если у вас есть файл с логинами и паролями к ним разделёнными двоеточиями.

# hydra -C /home/root/Desktop/login_pass.txt ssh://123.45.67.89

🔸Также можно запустить hydra с ключём -t для установления количества параллельных подключений на цель.

# hydra -P login.txt -P /usr/share/wordlists/rockyou.txt -t 8 ssh://123.45.67.89

🔸Если, вдруг SHH находится не на 22 порту, то можно использовать ключ -s который изменит порт

# hydra -P login.txt -P /usr/share/wordlists/rockyou.txt -s 22 ssh://123.45.67.89

🔸Также гидра можно брутфорсить страницы авторизации, например:

# hydra -l admin -P /usr/share/wordlists/rockyou.txt vuln.com http-post-form "/login.php:login=admin&pass=^PASS^:invalid login!" -vV -f

Где -vV дебаг мод показывающий login+pass, -f - выход из программы при нахождении пароля и логина

Читать полностью…

Не будем утомлять вас рассказами о ДМС, крутых офисах и других плюшках. Вот главное, почему специалистам по информационной безопасности нравится Т-Банк:

✔️Работа по принципу test & learn: выдвигают гипотезы, проверяют их числами и внедряют.
✔️Прозрачная система роста. Матрица компетенций объяснит, какие навыки нужно подтянуть, а ежегодное ревью поможет оценить результаты и получить повышение.
✔️Вы окажетесь среди профессионалов, у которых можно многому научиться. А если захотите — можете стать ментором для младших коллег.
✔️В Т-Банке любят то, что делают.

Больше о вакансиях для специалистов по информационной безопасности — здесь.

Erid:2VtzqwmLioL

Читать полностью…

John The Ripper

John The Ripper - программа, предназначенная для восстановления паролей по их хешам. Основное назначение - аудит слабых паролей в Unix системах путём перебора возможных вариантов.

Например, у нас есть некий hash, выглядят они вот так:

user:$1$plJCD2DU$lpYpkehFUxysMkYmxtrGZ.:14107:0:99999:7:::

Чтобы его взломать вводим следующую команду:

# john --format=raw-md5 --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

Для просмотра всех возможных форматов, используйте команду:

# john --list=formats

Давайте для практики взломаем ZIP архив:

# zip2john archive.zip > archive.hash

# john --wordlist=/usr/share/wordlists/rockyou.txt --fork=2 ~/Desktop/archive.hash

ключ --fork - берёт число ядер , которое соотвествует количеству лог. и физ. ядер процессора.

Для взлома архива ZIP на видеокарте, можно использовать эту команду:

# john --format=ZIP-opencl --wordlist=/usr/share/wordlists/rockyou.txt ~/Desktop/archive.hash

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🖼 Категория Стеганография — Сделка 2

🔎 Категория OSINT — Имя персонажа

Приятного хакинга!

Читать полностью…