🎄 Поздравляем с наступающим Новым годом!

Желаем крепких паролей, надежной защиты и успехов во всех начинаниях! Пусть ваши знания и навыки помогают строить безопасное будущее для вас, ваших близких и вашего бизнеса. 🥂🥂

Спасибо, что были с нами в этом году. До встречи в 2025-м! ❤️

С любовью, ваш Кодебай! 😎

Читать полностью…

Итоги CTF от S.E. & Codeby! 🎄

Сегодня мы подводим итоги первого новогоднего CTF! Среди победителей:

🎁 Курс «Боевой OSINT»

🎁 Курс «Специалист Security Operation Center»

🎁 Flipper Zero

🎁 x10 Telegram Premium

🎁 х10 подписок на Codeby Games

Спасибо всем кто участвовал — делитесь обратной связью и впечатлениями! До встречи на следующем турнире! 😎

Видео с розыгрышем можно посмотреть по ссылке

Читать полностью…

💵 Взлом Citibank

1994, Сан-Франциско: Русские мафиози заходят в банк, чтобы снять $500,000. Они не знают, что через несколько минут в помещение ворвется ФБР. А в это же время в Тель-Авиве задерживают ещё одного сообщника, пытающегося провернуть похожую операцию. Кто за этим стоит? Таинственный хакер, который взломал системы Citibank и похитил миллионы, ни разу не появившись в отделении банка.

🌐 Как всё началось: История берет начало в Санкт-Петербурге, когда хакер под псевдонимом ArkanoiD нашел уязвимость в сети Citibank, читая журнал для хакеров. Вместе с другими энтузиастами он исследовал систему банка и обнаружил конфиденциальные данные. Но один из членов команды продал эту информацию всего за $100 программисту Владимиру Левину, связанному с известной Тамбовской группировкой.

💥 Идеальное ограбление: Левин использовал сеть Citibank, чтобы перевести миллионы долларов на счета по всему миру. Его "мулы" снимали деньги в разных уголках планеты — от Финляндии до Аргентины, Израиля и США. Каждая операция была дерзкой, быстрой и практически неотслеживаемой.

Citibank и ФБР начали контратаку, расставляя ловушки для соучастников Левина. Операция охватила множество стран и завершилась арестом Левина в Лондоне в 1995 году. Но на этом история не заканчивается.

Однако навыки Левина не соответствовали уровню сложности взлома. В 1998 году пост в блоге от "Арканоида" заявил, что Левин просто купил доступ к операции, а настоящие организаторы взлома остались в тени. После освобождения Левин исчез, породив слухи о его убийстве, смене личности или сотрудничестве с властями.

💬 Как вы думаете, что случилось с Владимиром Левиным? Погиб, скрывается или продолжает работать хакером? Делитесь своими теориями!

Читать полностью…

Создавайте и проверяйте задания по программированию на GitVerse

На платформе для работы с исходным кодом GitVerse появился SmartClass — бесплатный инструмент для управления заданиями по программированию. С ним можно создавать, хранить и проверять задачи, а также автоматизировать ревью кода с помощью AI-ассистента GigaCode. В общем, все что нужно – теперь под рукой.

Пользователи SmartClass получают все преимущества платформы GitVerse, что дает начинающим специалистам возможность освоить профессиональные инструменты разработки. Решение позволяет не только изучать программирование и код, но и погрузиться в детали работы с такими инструментами и практиками, как CI/CD, Git и многими другими.

И, конечно, теперь смело можно отдать рутину аналитики заданий вашему верному помощнику – AI-ассистенту! За счет встроенных в платформу AI-расширений и AI-ассистента разработчика GigaCode вы можете за пару минут провести аналитику кода и значительно облегчить процесс проверки работ.

Переходите на GitVerse и пробуйте новый инструмент!

Читать полностью…

5 Онлайн-Инструментов для тестирования на проникновение

Точные и надежные инструменты — залог качественного тестирования на проникновение. А вот 5 новых инструментов, которые могут вам пригодиться

1️⃣ BuiltWith
BuiltWith — ваш шпион в мире технологий. Он раскрывает, какие плагины, фреймворки и библиотеки использует цель, предоставляя информацию в реальном времени через API. Это как заглянуть под капот сайта и увидеть, на чем он ездит.

✅ Быстро и удобно предоставляет информацию о технологиях сайта.
❌ Может не охватить все использованные технологии на сложных проектах.


2️⃣ Dnsdumpster
Dnsdumpster — бесплатный исследователь доменов, способный обнаружить поддомены вашей цели. Он собирает данные из различных источников, таких как Shodan и Maxmind, помогая вам составить карту поддоменов.

✅ Бесплатен и дает подробную карту доменов.
❌ Результаты могут быть устаревшими из-за использования открытых данных.


3️⃣ nmmapper
nmmapper — швейцарский нож для пентестера. Он использует инструменты вроде Sublister и Amass для поиска поддоменов, а также предлагает функции ping-теста, просмотра DNS и детектора WAF.

✅ Универсальный инструмент с широким набором функций.
❌ Интерфейс может быть сложен для новичков.


4️⃣ EmailCrawlr
EmailCrawlr — предоставляет список адресов электронной почты в формате JSON, облегчая задачу по сбору контактных данных.

✅ Удобный формат вывода данных (JSON).
❌ Требует дополнительных инструментов для обработки данных.


5️⃣ Skrapp
Skrapp — хотя и ориентирован на маркетинг, способен находить адреса электронной почты через функцию поиска домена. Функция bulk email finder позволяет получить доступ к CSV-файлу с именами сотрудников компании.

✅ Позволяет массово искать адреса и выгружать их в удобном формате.
❌ Акцент на маркетинг, что может снижать релевантность для пентестинга.

Читать полностью…

Баннер на рождество от ASUS. Компания решила поздравить пользователей с рождеством появляющимся на 1/3 экрана баннером с рождественским венком. Кроме этого в нём присутствует сообщение: «Нажмите ESC, чтобы выйти» и кнопка пробела. В некоторых случаях он приводит к сбою в работе приложений.

🎄 Баннер запускается с помощью процесса с названием «Christmas.exe» и является частью программного обеспечения Asus Armoury Crate (оно предустановлено на некоторых компьютерах ASUS), а не вредоносной программой, как думают некоторые пользователи.

🎁 Примечательным является то, что компания не предупредила пользователей и никак не объяснила, что происходит, тем самым удивив всех.

🎄 Баннер исчезает сам по себе и не отображается в диспетчере задач, если не держать его открытым. Приложение Christmas.exe в Windows 11 размещено на системном диске по пути

"C:\ProgramData\ASUS\FestsEffect\data\Christmas\christmas.exe"

✏️ Для отключения Christmas.exe можно использовать официальный деинсталлятор ASUS Armoury с веб-сайта компании, но приложение снова будет пытаться себя установить. Чтобы заблокировать Armoury Crate на материнской плате ASUS, необходимо открыть BIOS, переключиться в Advanced Mode, найти меню Tool —> ASUS Armoury Crate и поменять опцию "Download & Install ARMOURY CRATE app" на Disabled. Также можно подождать пока пройдут праздники, так как после этого баннер сам исчезнет :D

Читать полностью…

✏️ Персональные данные — это информация, которая прямо или косвенно позволяет идентифицировать физическое лицо. С развитием технологий и увеличением объема обрабатываемых данных, вопросы их защиты становятся особенно актуальными.

✏️ Информационная система персональных данных — это совокупность данных и технологий, обеспечивающих обработку ПДн. Однако важно не только собирать и хранить такие данные, но и защищать их от утечек и злоупотреблений.

Какие органы регулируют защиту ПДн в России?
🔸 ФСБ — отвечает за защиту ПДн в контексте национальной безопасности.
🔸 ФСТЭК — устанавливает технические стандарты для защиты данных, включая те, которые могут быть государственной тайной.
🔸 Роскомнадзор — следит за соблюдением законов о персональных данных и принимает меры по защите прав граждан.
🔸 Минцифры — разрабатывает нормативные акты и стандарты для цифровых технологий.

Ключевые нормативные акты:
🔸 Закон о персональных данных (152-ФЗ) — регулирует обработку и защиту данных.
🔸 Приказ №21 ФСТЭК — устанавливает требования по безопасности ПДн при их обработке в информационных системах.
🔸 Постановление №1119 — вводит классификацию угроз и требования к защите данных.

Почему важно защищать ПДн?
Необработанные данные, особенно чувствительные (например, медицинские или биометрические), могут стать объектом кражи, манипуляции или даже шантажа. Поэтому защита данных — это не только соблюдение законодательства, но и важная составляющая безопасности.

🔗 Читать полный материал

Читать полностью…

Они оставили след... Как найти его с помощью VSSAdmin

Кибератаки становятся всё сложнее, а злоумышленники всё чаще используют встроенные инструменты Windows. Разберём, как через VSSAdmin и командную строку они получают доступ к данным и обходят защиту системы.

‼️Цепочка подозрительных действий‼️

Атака начинается с команды, запускающей процессы для создания теневых копий и доступа к защищённым данным. Рассмотрим последовательность шагов:

Создание процессов через командную строку
1️⃣Злоумышленник инициирует процесс через cmd.exe, который выполняет команды для работы с теневыми копиями (Shadow Copies).

shell C:\windows\system32\cmd.exe /Q /c echo c:\windows\system32\cmd.exe /C vssadmin create shadow /For=C: *> SYSTEMROOT:\Temp\output > TEMPS\execute.bat

Основной инструмент здесь — vssadmin. Он используется для управления теневыми копиями, включая их создание, удаление и просмотр.

2️⃣Доступ к критически важным файлам
После создания теневой копии злоумышленник получает доступ к ключевым системным файлам, таким как:
- NTDS.dit — база данных Active Directory, содержащая учётные записи пользователей.
- SAM (Security Account Manager) — файл, содержащий хэши паролей пользователей.

Для копирования файлов используется команда copy с доступом к теневым копиям через пути, подобные \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy.

3️⃣Автоматизация удаления следов
После выполнения команды создаётся временный файл execute.bat, в котором хранятся действия злоумышленника. Для удаления следов после выполнения задачи файл автоматически стирается командой:

👀Ключевые индикаторы компрометации (IoC)👀

1️⃣Запись в журнал событий
В системных журналах Windows можно найти записи о запуске процессов (Event ID 4688). Например, создание процесса с командой:

C:\windows\system32\cmd.exe /C vssadmin list shadows

Эти события указывают на использование vssadmin и вызывают подозрения, особенно если команда выполняется вне запланированных системных задач.

2️⃣Удалённый доступ

Злоумышленник может использовать такие утилиты, как secretsdump.py или mmcexec, для извлечения хэшей паролей с удалённых машин. Это сопровождается событиями:
- 4624 — удалённый вход.
- 5145 — проверка прав доступа к удалённым сервисам, включая winreg.

3️⃣Удаление теневых копий

После завершения атаки часто наблюдаются команды для удаления всех созданных копий:

vssadmin delete shadows /For=C: /Quiet

Используемые инструменты
1. VSSAdmin — утилита для работы с теневыми копиями, нередко используемая злоумышленниками.
2. secretsdump.py — инструмент Impacket для извлечения хэшей паролей и данных.
3. mmcexec — утилита для выполнения удалённых команд через Management Console.

Читать полностью…

Вредоносные расширения Microsoft Visual Studio Code. Исследователи Reversing Labs сообщают, что вредоносные расширения на маркетплейсе VSCode впервые появились в октябре. Кампания включает в себя 18 вредоносных расширений, ориентированных в первую очередь на инвесторов в криптовалюту и разработчиков.

💱 Для повышения легитимности и доверия к расширениям злоумышленники добавляют фальшивые отзывы и завышают количество установок.

🚨 Список вредоносных расширений:
⏺️EVM.Blockchain-Toolkit
⏺️VoiceMod.VoiceMod
⏺️ZoomVideoCommunications.Zoom
⏺️ZoomINC.Zoom-Workplace
⏺️Ethereum.SoliditySupport
⏺️ZoomWorkspace.Zoom (three versions)
⏺️ethereumorg.Solidity-Language-for-Ethereum
⏺️VitalikButerin.Solidity-Ethereum (two versions)
⏺️SolidityFoundation.Solidity-Ethereum
⏺️EthereumFoundation.Solidity-Language-for-Ethereum (two versions)
⏺️SOLIDITY.Solidity-Language
⏺️GavinWood.SolidityLang (two versions)
⏺️EthereumFoundation.Solidity-for-Ethereum-Language

✏️ Исследователи сообщают, что все расширения имеют одинаковую вредоносную функцию и дополнительные файлы, поставляемые с ними представляют из себя обфусцированные скрипты .bat или .cmd, которые скрытно запускают Powershell. Скрипт же, в свою очередь, расшифрует строки, зашифрованные с помощью AES, чтобы внедрить дополнительные вредоносные программы в скомпрометированную систему и запустить их.
При этом происходит взаимодействие со следующими доменами: microsoft-visualstudiocode[.]com и captchacdn[.]com.

Читать полностью…

🤩 Исследователи из Check Point раскрыли новый метод обхода защитных систем, используемый киберпреступниками. Злоумышленники активно эксплуатируют Google Calendar и Google Drawings, чтобы отправлять фальшивые приглашения с вредоносными ссылками.

Как работает атака?
🤩 Мошенники используют .ics-файлы, которые выглядят как легитимные приглашения от Google Calendar.
🤩 Они модифицируют заголовки отправителя, делая письма похожими на те, что отправлены от имени знакомого человека.
🤩 В приглашениях содержатся ссылки на поддельные Google Forms или Google Drawings.

После перехода по ссылке жертва попадает на фальшивую страницу, например, с поддельной поддержкой криптовалют или фейковым reCAPTCHA. Пользователей просят пройти "аутентификацию", ввести личные данные или реквизиты оплаты.

💳 Собранные данные используются для кредитного мошенничества, несанкционированных транзакций и взлома других аккаунтов жертвы .

Google рекомендует включить настройку "Только от известных отправителей" в Google Calendar. Она предупреждает пользователей о подозрительных приглашениях.

Дополнительные меры:
🤩 Используйте современные платформы email-безопасности для фильтрации фишинга.
🤩 Внедряйте MFA (многофакторную аутентификацию).
🤩 Мониторьте активность сторонних Google-приложений.
🤩 Настройте инструменты поведенческого анализа для выявления подозрительных попыток входа.

#новости

Читать полностью…

🍭 Полный гайд по очистке данных

Windows 10 и 11 активно собирают данные о пользователях. Это может быть полезно для работы системы, но если вы хотите сохранить конфиденциальность или просто скрыть свои действия, эта статья поможет.

В новой статье собрали лучшие методы очистки следов вашей активности в системе, включая файлы, журналы, историю браузера и другие записи, которые могут вас выдать.

Что мы будем очищать?

1️⃣ Недавние файлы и программы
Windows хранит список недавно открытых файлов и использованных программ в меню «Пуск» и других местах. Мы расскажем, как полностью удалить этот список.

2️⃣ Подключённые USB-устройства
Система сохраняет информацию о всех USB-накопителях, подключённых к вашему ПК. Это может быть полезно для расследований, но иногда требуется убрать эти следы.

3️⃣ История браузера и кэш DNS
Ваша активность в Интернете оставляет следы как в браузере, так и в системе (через кэш DNS). Вы узнаете, как очистить их полностью.

4️⃣ Журналы событий Windows
Windows записывает все действия, от включения ПК до установки программ. Очистка журналов событий поможет скрыть технические действия.

5️⃣ Остатки удалённых файлов
Даже после удаления файлы оставляют за собой следы на жёстком диске. Специальные инструменты помогут стереть эти данные без возможности восстановления.

6️⃣ Автоматизация процесса очистки
Вы узнаете, как автоматизировать очистку с помощью CCleaner, BleachBit и встроенных средств Windows, а также как создать собственные скрипты.

Этот гайд поможет вам защитить приватность и очистить все возможные следы вашей активности. С его помощью вы сможете подготовить систему перед передачей другому человеку, защититься от излишнего контроля или просто поддерживать порядок в системе.

⭐ Читать статью полностью

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🖼 Категория Стеганография — Литературная аномалия

🎢 Категория Разное — Серьёзный таск

🌍 Категория Веб — Object master

Приятного хакинга!

Читать полностью…

EVE-NG — мощный инструмент для сетевых инженеров и специалистов по безопасности, который позволяет моделировать сети и тестировать сценарии атак в виртуальной среде.

В новой статье расскажем, как настроить виртуальную лабораторию для моделирования корпоративной сети и протестировать популярную атаку ARP Spoofing.

✏️ ARP Spoofing — это тип атаки на уровне L2, при котором злоумышленник отправляет ложные ARP-запросы в локальную сеть, связывая свой MAC-адрес с IP-адресом жертвы. Это позволяет перехватывать данные, создавать Man-in-the-Middle атаки или даже перенаправлять трафик на другой хост.

О чем пойдет речь:
🔸 Как развернуть EVE-NG и настроить тестовую инфраструктуру с Kali Linux, Windows 7 и файрволлом.
🔸 Пошаговая настройка сети и запуск тестовых машин.
🔸 Моделирование ARP Spoofing: сканирование подсети, перехват трафика с помощью Wireshark и арсенал утилит Kali.
🔸 Методы защиты от атак на уровне ARP и практические рекомендации для предотвращения Man-in-the-Middle атак.

Читайте полную статью, чтобы узнать, как эффективно использовать виртуальные среды для изучения кибератак! 😎

Читать полностью…

Специалисты Positive Technologies обнаружили атаку группировки Cloud Atlas, которая нацелена на организации в России и Белоруссии с 2014 года. Злоумышленники продолжают совершенствовать свои тактики, техники и используемое ВПО. Использование Google Sheets в качестве С2 сервера является важной особенностью рассмотренной кампании и отличает ее от предыдущих атак.

🔗 Цепочка заражения:

✉️ Получение первоначального доступа происходит через фишинговую компанию с адресов internet[.]ru. Письма содержат запросы о предоставлении определенного рода информации, направленные различными "государственными ведомствами". Во вредоносных документах используется техника удаленной загрузки шаблона, ссылка на который вшита в один из файлов, из которых состоит документ формата doc.

🌐 При запуске вредоносного документа отправляется GET-запрос к C2, в ответ на который сервер возвращает файл типа application/hta. Далее загружаемый шаблон эксплуатирует уязвимость в компоненте Equation Editor, входящую в состав Microsoft Office. Далее HTA-файлы используются для доставки на зараженные узлы других инструментов злоумышленников.

😮 При анализе атаки был обнаружен факт выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов. VB-скрипты взаимодействуют с C2-сервером, в качестве которого используется документ Google Sheets.

⬇️ Скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде. В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas (бэкдор PowerShower). Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex.

Само ВПО представляет собой загрузчик конечных функциональных модулей, которые хранятся на «Яндекс Диске». Загрузчик закрепляется в системе посредством создания запланированной задачи с именем CiscoMngr.

Читать полностью…

В чем отличие CVE и CWE

▶️CVE (Common Vulnerabilities and Exposures) – это список известных уязвимостей и дефектов безопасности
Пример: CVE-2024-51378 - конкретная уязвимость в СyberPanel, которая позволяет злоумышленникам обходить аутентификацию и выполнять произвольные команды.

▶️CWE (Common Weakness Enumeration) – общий перечень дефектов (недостатков) безопасности.
Пример: CWE-89 относится ко всем SQL-инъекциям — конструктивному недостатку, открывающему путь для атак на базу данных.

💠 Ключевое различие
Главное отличие между CVE и CWE заключается в их назначении.
💠 CVE описывает факт существования конкретной уязвимости. Это запись, которая указывает на проблему в определённой версии программного обеспечения.
💠 CWE описывает причину возникновения уязвимости, предоставляя классификацию и систематизацию дефектов, которые часто становятся источниками проблем безопасности.

💠 Пример взаимосвязи CVE и CWE
Возьмём CVE-2024-51378, упомянутый ранее. Эта уязвимость в CyberPanel может быть связана с конкретными CWE, например:
💠 CWE-287 (Недостаточная аутентификация) — основная причина, по которой атакующий может обойти проверку подлинности.
💠 CWE-78 (Неправильная нейтрализация специальных элементов в системных командах) — причина, по которой злоумышленник может выполнять произвольные команды.

Читать полностью…

Итоги года с Кодебай 🎉

Этот год был насыщенным и продуктивным для всех нас! Вот чего мы достигли:

💬 Аудитория:
- Более 20 000 новых подписчиков на всех наших платформах (основной канал, форум, ВК, чат и Codeby Games).
- В Академии обучились более 5000 учеников, из которых многие уже сделали первый шаг в профессию.

▶️ Обучение и курсы:
- Запустили 2 новых курса: "Профессия Пентестер" и "Атака на Active Directory"
- Провели 4 масштабных CTF-соревнования под ключ
- Получили лицензию ФСТЭК
- Вошли в реестр отечественного ПО

🔒 Оценка безопасности:
- Более 20 компаний доверили нам проведение пентестов и оценку безопасности своих систем.

🥇 Участие в мероприятиях:
- Приняли участие в конференциях: Standoff, КодИБ, KubanCSC, UnderConf и других.

Этот год принес нам множество свершений, но мы не останавливаемся! В следующем году нас ждут новые проекты, курсы и интересные вызовы. Спасибо, что остаетесь с нами — именно вы мотивируете нас развиваться и делать лучшее для нашего сообщества!

Читать полностью…

2024 год стал насыщенным на инциденты в сфере кибербезопасности. Мы собрали самые обсуждаемые новости, которые потрясли индустрию и показали новые вызовы в борьбе с киберугрозами.

1️⃣ Критические уязвимости ICS: призыв CISA
CISA призывает критически важные инфраструктуры срочно устранить уязвимости в 9 продуктах ICS, которые угрожают секторам энергетики, транспорта и производства.

2️⃣ Иранские хакеры Cotton Sandstorm: новый уровень угроз
Группа Cotton Sandstorm использует ИИ для атак на критическую инфраструктуру и манипуляции выборами, расширяя географию атак.

3️⃣ NIST меняет подход к паролям
Больше не нужны сложные пароли и регулярные изменения. Новый стандарт NIST упрощает управление безопасностью учетных данных.

4️⃣ "Yahoo Boys" и всплеск сексторшна
Нигерийские киберпреступники организовали массовые атаки на подростков в соцсетях, требуя деньги через шантаж интимными фото.

5️⃣ Рансомвар-атака на Change Healthcare
Кибератака на Change Healthcare привела к задержкам в выдаче рецептов для миллионов американцев. Компании пришлось выплатить $22 млн выкупа.

6️⃣ Проблемы с NVD: остановка обогащения CVE
База уязвимостей NIST пережила сбои из-за внутренних реформ и бюджетных ограничений, что замедлило обновление данных.

7️⃣ Ransomware на Infosys McCamish: утечка данных 6 млн человек
Крупнейшая атака привела к компрометации данных клиентов, включая номера соцстрахования и медицинскую информацию.

8️⃣ Прозрачность цепочки поставок ПО: рекомендации CISA
Третий выпуск документа от CISA подчеркивает важность развития SBOM (Software Bill of Materials) для повышения прозрачности в цепочке поставок ПО.

9️⃣ Северокорейский "фейковый" IT-работник в KnowBe4
Компания KnowBe4 стала жертвой схемы трудоустройства хакеров из КНДР. Попытка была вовремя выявлена и предотвращена.

1️⃣0️⃣ Взлом AnyDesk: украден исходный код
Популярный софт AnyDesk пострадал от атаки: злоумышленники похитили исходный код и ключи подписи, но пользователи не пострадали.

🔤 Подробнее о каждом событии – ищите на нашем канале! Следите, чтобы быть на шаг впереди киберугроз. Увидимся в новом году!

Читать полностью…

Последний шанс участвовать в розыгрыше от Codeby & S.E.!

Новое задание уже доступно в нашем боте, а всё что нам известно — игрушечная машинка чип шпион попугай... 🕵‍♂

Уже завтра пройдёт розыгрыш призов среди участников CTF 🎁

А если вам понравилось решать задания — то их можно решать круглый год на платформе codeby.games!

📌 Решить задание и участвовать в розыгрыше: @codeby_se_bot

Читать полностью…

🚩 Новые задания на платформе Codeby Games!

🔑 Категория Криптография — Гирлянда

🕵️ Категория Форензика — Дед Мороз забыл пароль

🔎 Категория OSINT — Спасибо, Князь

Приятного хакинга!

Читать полностью…

💬 Вы бы продали свои данные за деньги?

Исследователи в сфере безопасности обнаружили крупную операцию на даркнете, связанную с фермами биометрических данных. Анонимная группировка собрала огромное количество подлинных документов и соответствующих фотографий лиц, чтобы обмануть системы верификации "Знай своего клиента" (KYC).

🔗 Особенность схемы
Согласно данным iProov, злоумышленники могут получать эти данные не только через кражу, но и добровольно – пользователи сами продают свои документы и фото за деньги.

По словам главного научного сотрудника iProov Эндрю Ньюэлла:

«Люди, продающие свои биометрические данные, рискуют не только финансовой безопасностью, но и помогают преступникам создать полноценные идентификационные пакеты для сложных мошеннических схем»

🌐 Операция была выявлена в Латинской Америке, где уже оповещена местная полиция. Похожие схемы также замечены в Восточной Европе.

Интересные факты:
🟢 ICO запретила использование распознавания лиц компанией Serco Leisure для учета сотрудников.
🟢 AI-генерируемые глубокие фейки стали частью 24% попыток обмана систем биометрической проверки движений. При этом менее сложные механизмы, вроде селфи-аутентификации, чаще поддаются обычным подделкам.

#новости

Читать полностью…

До Нового Года остались считанные дни... А у вас ещё есть время поучаствовать в CTF от S.E. & Codeby и выиграть призы! 🎁

В новом задании отправляемся на поиски штаб-домена Санты!

📌 Решить задание и участвовать в розыгрыше: @codeby_se_bot

Читать полностью…

Common Vulnerability Scoring System (CVSS) — открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления.

CVSS включает три группы метрик: базовые (Base), временные (Temporal) и контекстные (Environmental). Обычно используются базовые метрики, так как они описывают основные характеристики уязвимости.

Базовые метрики оценивают основные характеристики уязвимости:

1⃣ Access Vector (AV) — положение атакующего
• Local (L) (0,395): требуется физический доступ или локальная учетная запись.
• Adjacent (A) (0,646): доступ через локальную сеть или домен коллизий.
• Network (N) (1): доступ через сеть.

2⃣ Access Complexity (AC) — сложность атаки
• High (H) (0,35): сложные условия (гонка, соц. инженерия).
• Medium (M) (0,61): доп. требования (специальная конфигурация).
• Low (L) (0,71): минимальные требования.

3⃣ Authentication (Au) — число аутентификаций
• Multiple (M) (0,45): дважды или более.
• Single (S) (0,56): один раз.
• None (N) (0,704): не требуется.

4⃣ Confidentiality (C) — влияние на конфиденциальность
• None (N) (0): нет влияния.
• Partial (P) (0,275): частичное раскрытие данных.
• Complete (C) (0,660): полное раскрытие.

5⃣ Integrity (I) — влияние на целостность
• None (N) (0): нет влияния.
• Partial (P) (0,275): ограниченные изменения данных.
• Complete (C) (0,660): полное изменение данных.

6⃣ Availability (A) — влияние на доступность
• None (N) (0): нет влияния.
• Partial (P) (0,275): частичная деградация.
• Complete (C) (0,660): полная недоступность ресурса.

Пример расчета BaseScore
Оценка BaseScore рассчитывается по следующим формулам. Значения для параметров выбираются из таблицы, приведенной выше. Дробные результирующие числа следует округлять до первого десятичного разряда, что ниже выражается через функцию roundTo1Decimal. Подробнее о формулах можно почитать ЗДЕСЬ

Exploitability = 20 × AccessVector × AccessComplexity × Authentication
Impact = 10,41 × ( 1 − ( 1 − C ) × ( 1 − I ) × ( 1 − A ) )
BaseScore = roundTo1Decimal ( ( ( 0 , 6 × Impact ) + ( 0 , 4 × Exploitability ) − 1 , 5 ) × f( Impact ) )

Читать полностью…

⬇️ Что такое SOP и как она работает?

Веб-приложения и данные пользователей постоянно подвергаются угрозам. Сегодня расскажем про один из фундаментальных механизмов защиты — Same-Origin Policy.

Если вы работаете с вебом, знаете про CSRF, или просто хотите лучше понимать, как браузеры защищают наши данные, то новая статья для вас!

Что такое SOP?
Это "политика одинакового источника", которая определяет, может ли ресурс (например, скрипт или страница) взаимодействовать с другим ресурсом из другого источника.

Источник (origin) — это комбинация:
🤩 Схема (protocol): HTTP или HTTPS
🤩 Хост (host): доменное имя, например, example.com
🤩 Порт (port): стандартные — 80 для HTTP и 443 для HTTPS

Политика SOP блокирует попытки взаимодействия между разными источниками, если они не полностью совпадают по всем этим параметрам.

Как это защищает данные?
Представьте, что ваш браузер авторизован в интернет-банке (bank.com), а злоумышленник хочет украсть ваши сессионные cookie с помощью поддельного сайта (hacker.com). Без SOP ваш браузер мог бы отправить данные сессии злоумышленнику. SOP предотвращает это, блокируя запросы с hacker.com к bank.com.

➡️ Читать статью полностью

Читать полностью…

Кодебай, напоминаем о нашем чате! 😎

🔸 Обсуждение новостей из мира ИБ, обмен опытом
🔸 Ответы на вопросы от единомышленников
🔸 Живые дискуссии и полезные материалы

Присоединяйтесь и станьте частью активного инфобез-сообщества!
➡️ /channel/codeby_one

Ждём всех! 🚩

Читать полностью…

Smbexec: как работает и как обнаружить

Smbexec — это инструмент для выполнения команд на удаленных Windows-системах через SMB-протокол. Благодаря своим возможностям он стал популярным не только среди администраторов, но и среди злоумышленников. Однако, несмотря на мощь, Smbexec оставляет заметные следы, которые помогают его обнаружить.

Принцип работы
1️⃣ Аутентификация через SMB
Инструмент использует учетные данные (пароли или NTLM-хэши), чтобы аутентифицироваться и получить доступ к целевой машине от имени локального администратора.

2️⃣ Доступ к SCM (Service Control Manager)
Первый шаг после входа — открытие доступа к SCM с помощью команды OpenSCManagerW, где параметр MachineName всегда равен DUMMY.

3️⃣ Создание временной службы
Через CreateServiceW создается служба, запускающая команды, записанные во временный .bat файл.

Команда выглядит следующим образом:

   %COMSPEC% /Q /c echo ipconfig > \\127.0.0.1\C$\output && %COMSPEC% /Q /c \\127.0.0.1\C$\execute.bat && del \\127.0.0.1\C$\execute.bat
    

4️⃣ Удаление временных файлов
После выполнения команды временные файлы удаляются, но логи Windows фиксируют ключевые этапы атаки.

Следы Smbexec в логах Windows
- 4697 — создание службы на целевой машине.
- 4688 — запуск процесса cmd.exe с аргументами из временного .bat файла.
- 5145 — проверка прав доступа к файлам на общем ресурсе (например, `output`).

Пример характерной записи:

%COMSPEC% /Q /c echo ipconfig > \\127.0.0.1\C$\output && %COMSPEC% /Q /c \\127.0.0.1\C$\execute.bat && del \\127.0.0.1\C$\execute.bat

Эти события легко объединяются в последовательность, позволяющую выявить использование Smbexec.

Читать полностью…

Злоумышленники продолжают искать уязвимости в ПО, и недавно в их арсенале появилась интересная техника, связанная с объединением ZIP-архивов. Она позволяет обмануть системы защиты за счет того, что разные архиваторы по-разному интерпретируют структуры комбинированных ZIP-файлов.

Как это работает?
ZIP-файл состоит из трех ключевых частей: записей файлов, центрального каталога и записи конца каталога (EOCD). При объединении двух архивов в один программа для работы с ZIP может обработать только первую или вторую часть данных, в зависимости от особенностей её реализации.

Например:
🔸 Windows Explorer не откроет объединенный архив.
🔸 7zip покажет только содержимое первого архива.
🔸 WinRAR откроет второй архив с потенциальной угрозой.

Средства защиты могут "проглядеть" скрытую угрозу в объединенных архивах, оставляя вредоносный файл незамеченным.

Для обнаружения угроз важно использовать рекурсивные алгоритмы распаковки. Разделение архива на составные части и проверка каждого файла через песочницы (например, VirusTotal) позволяют обнаружить скрытые угрозы.

🔗 Читать полную статью

Читать полностью…

C2 в изолированных средах браузера. Компания Mandiant продемонстрировала новую технологию, которую можно использовать для обхода всех существующих типов изоляции браузера с целью управления вредоносным ПО с помощью C2.

🌐 Типы изоляции браузера:
⏺️Удаленная изоляция браузера — наиболее безопасный и распространенный вариант, при котором браузер изолируется в облачной среде.
⏺️Локальная изоляция браузера, но браузер в изолированной среде запускается локально. Преимущество этого подхода в том, что доступ к локальным веб-приложениям можно получить без сложного подключения к облаку.
⏺️Локальная изоляция браузера, или изоляция браузера на стороне клиента, позволяет запускать браузер в изолированной среде в локальном контейнере или на виртуальной машине.

✏️ Таким образом, используя первые два типа изоляции, в локальный браузер пользователя отправляется только визуальное представление веб-страницы (поток пикселей), тем самым, предотвращая типичную связь импланта с С2 сервером.

😳 Отправка данных C2 Через Пиксели:
1️⃣ Вместо того, чтобы возвращать данные C2 в заголовках или теле HTTP-запроса, сервер C2 возвращает корректную веб-страницу, на которой визуально отображается QR-код.
2️⃣ Затем имплант использует локальный браузер без графического интерфейса (например через Selenium) для отображения страницы, делает скриншот и считывает QR-код для получения встроенных данных.
3️⃣ Используя машиночитаемые QR-коды, злоумышленник может отправлять данные с контролируемого им сервера на вредоносную программу, даже если веб-страница отображается в удалённом браузере.

❗️ Поскольку этот метод основан на визуальном содержимом веб-страницы, он работает во всех трёх типах изоляции браузера

Читать полностью…

Lemme know your password

BlackPhish

BlackPhish - утилита предназначена для фишинговых атак, принцип его работы схож с Zphisher, за исключением того, что в обоих проектах не работает ngrok. BlackPhish уступает по кол-ву сервисов по сравнению с Zphisher.

P.S. Работа ngrok также восстановлена, однако установить его вам придётся самим

💻Установка:

git clone https://notabug.org/Delifer313/BlackPhish

cd BlackPhish

👩‍💻Запуск:

sudo python3 BlackPhish.py

Ссылка на мою версию с поддержкой ngrok: https://notabug.org/Delifer313/BlackPhish

Вам необходимо иметь на борту установленный и рабочий ngrok для возможного запуска на сервисе ngrok.

Читать полностью…

В мире кибербезопасности список OWASP TOP 10 – это своего рода «мастхэв» для всех, кто занимается разработкой и защитой веб-приложений 💎

Этот документ, подготовленный Open Web Application Security Project, освещает самые критические уязвимости, способные превратить ваш проект в лёгкую добычу для злоумышленников.

Почему это важно? В списке собраны наиболее опасные уязвимости, их последствия и рекомендации по устранению. Даже спустя несколько лет после последнего обновления (2021 год), он остаётся актуальным. К слову, новое издание OWASP TOP 10 ожидается в первой половине 2025 года.

Какие угрозы включены в список?
🔸 Нарушение контроля доступа (Broken Access Control)
🔸 Сбои в криптографии (Cryptographic Failures)
🔸 Внедрение кода (Injection)
🔸 Небезопасное проектирование (Insecure Design)
🔸 Небезопасная конфигурация (Security Misconfiguration)
🔸 Уязвимые и устаревшие компоненты (Vulnerable and Outdated Components)
🔸 И многое другое.

В новой статье разберём каждую из этих уязвимостей: что она из себя представляет, к чему может привести и как её предотвратить.

➡️ Читать подробнее

Читать полностью…

5 камней бесконечности в Firefox

Один из популярных инструментов для тестирования безопасности — это браузер Firefox. В отличие от других браузеров, Firefox поддерживает множество полезных расширений, которые помогают специалистам по безопасности эффективно проводить пентесты.

Полезные расширения для пентеста

🧹 Камень реальности — Wappalyzer
Wappalyzer позволяет определить, какие платформы, фреймворки, серверы и другие технологии используются на сайте. Это важно, так как знание используемых технологий помогает сосредоточиться на наиболее уязвимых компонентах системы.

🧹 Камень пространства — FoxyProxy
FoxyProxy — это расширение, которое позволяет легко управлять прокси-серверами. FoxyProxy упрощает настройку прокси, делая процесс тестирования более гибким и удобным. Это особенно полезно при использовании различных инструментов, таких как Burp Suite или OWASP ZAP, для анализа трафика.

🧹 Камень силы — HackTools
HackTools — это набор инструментов для проведения атак на веб-приложения. Он включает в себя возможности для манипуляции HTTP-запросами, управления сессиями, а также проведения различных атак, таких как SQL-инъекции, XSS и другие.

🧹 Камень разума — Live HTTP Headers
Позволяет отслеживать и анализировать HTTP-заголовки, которые передаются между клиентом и сервером.

🧹 Камень души — Cookie-Editor
Cookie-Editor позволяет легко управлять cookies, используемыми на веб-сайтах. Он предоставляет удобный интерфейс для просмотра, редактирования, добавления и удаления cookies, что особенно полезно для тестирования и разработки веб-приложений.

Читать полностью…