Аналитики FortiGuard Labs проанализировали вредоносные пакеты, обнаруженные с ноября 2024 года по настоящее время, и выявили различные методы, используемые злоумышленниками для эксплуатации уязвимостей системы.

😮 Было обнаружено:

1️⃣ 1082 пакета с малым количеством файлов, часто использующие минимальный код для выполнения вредоносных действий без обнаружения.

2️⃣ 1052 пакета содержат подозрительные установочные скрипты, предназначенные для скрытого внедрения вредоносного кода во время установки. Эти сценарии могут изменять стандартный процесс установки для выполнения вредоносных действий без ведома пользователя.

3️⃣ 1043 пакета без URL-адреса репозитория, что вызывает сомнения в законности и легитимности программного обеспечения. Злоумышленники могут избегать репозиториев, чтобы избежать проверки и предотвратить анализ кода, что снижает вероятность обнаружения.

4️⃣ 974 пакета, содержащие подозрительные URL-адреса, потенциально способствующие связи с серверами управления и контроля или утечке данных.

5️⃣ 681 пакет, использующий подозрительные API, в том числе такие команды, как https.get и https.request, для кражи данных или удалённого управления.

6️⃣ 537 пакетов с пустыми описаниями, что ещё больше скрывает их истинные намерения и повышает риск незамеченной вредоносной активности.

7️⃣ 164 пакета с необычно высокими номерами версий, которые вводят пользователей в заблуждение, заставляя их доверять устаревшему или потенциально опасному программному обеспечению.

Читать полностью…

👀 Ищем менеджера по продажам курсов по кибербезопасности

1️⃣ Почему мы?
🔸 Полностью удаленная занятость (10:00–19:00 МСК)
🔸 Сертификаты котируются у работодателей
🔸 Наши клиенты: IT-специалисты — новички и опытные и крупные корпорации
⭐️ Бесплатное обучение для вас и ваших близких
⭐️ «Белая» зарплата + соцпакет (ТК РФ)

2️⃣ Ваши задачи:
✅ Обработка заявок, работа в Bitrix24
✅ Консультации от первого контакта до сделки — без холодных звонков!
✅ Работа с шаблонами КП
✅ Поддержка методистов по техническим вопросам

3️⃣ Требования:
✨ Умение общаться и слушать
✨ Готовность учиться (CRM, B2B/B2C-продажи)
✨ Грамотная речь и позитивное мышление

4️⃣ Зарплата:
🔸 50 000₽ (первые 3 мес.) 🔴 65 000₽ (3-6 мес.) 🔴 75 000₽ (после 6 мес.)
🔸 Премии: ежемесячные (1-1,5% с продаж) + квартальные за перевыполнение
🔸 Средний доход: 120 000 – 160 000₽

Присоединяйтесь к команде Кодебай! Если заинтересовала вакансия, напишите нам на hh.ru — пришлите резюме + короткий рассказ, почему хотите в кибербезопасность!

#вакансии

Читать полностью…

Киберкриминалист расследует цифровые преступления, ищет цифровые следы, восстанавливает данные и раскрывает кибератаки, делая виртуальный мир безопаснее 🔍

Освойте цифровую криминалистику на курсе от Академии Кодебай! 😎 Стартуем 17 марта. Регистрация здесь.

Что будет на курсе?
🌟 Решение задач, основанных на APT-отчетах
🌟 Работа с opensource инструментами на протяжении полного цикла реагирования на инциденты
🌟 Поиск и анализ артефактов, оставленных хакерами и их вредоносным ПО

Для кого создан этот курс?
🔸 для аналитиков 1, 2 и 3 линий SOC
🔸 для для начинающих DFIR и Red Team специалистов
🔸 для организаций — повысить квалификацию сотрудников в сфере реагирования на КИ и форензики ОС семейства UNIX

🚀 По всем вопросам пишите @Codeby_Academy

Читать полностью…

Привет разведчикам! В новой части "ШХ" разберём, как сделать работу с Nmap удобнее и эффективнее, добавив визуализацию, автоматический поиск уязвимостей и анализ поддоменов.

Содержание статьи ⤵️

🔸 Nmap-did-what – превращает XML-вывод Nmap в удобные графики в Grafana. Теперь отчёты можно анализировать визуально!
🔸 Cert4Recon – помогает находить поддомены, анализируя SSL/TLS-сертификаты через сервис crt.sh. Лёгкий, но мощный OSINT-инструмент.
🔸 CVEScannerV2 – автоматически находит возможные уязвимости, сравнивая открытые порты с базой известных CVE.

Что получаем?
Автоматизация рутинных задач при разведке, удобная визуализация данных и быстрый поиск слабых мест в инфраструктуре цели.

В статье разберём установку, использование и даже идею интеграции инструментов в единый процесс!

🔴 Читать полный обзор

Читать полностью…

Дорогие девушки! 🧡

Поздравляем вас с 8 марта и говорим огромное спасибо за вашу силу, заботу и вклад в мир кибербезопасности!

Пусть ваш код всегда компилируется без ошибок, пароли остаются сложными, а в жизни не будет уязвимостей! 🌷

Желаем вам мощных фаерволов от проблем, высокой степени шифрования от тревог и безлимитного трафика любви и радости! 🌸

С праздником,
Ваш Кодебай 😎

Читать полностью…

Расширения для браузера

Обычного браузера хакеру не достаточно, нужны расширения благодаря которым наша работа будет намного практичнее. Для хакеров и специалистов по кибербезопасности эти расширения могут стать мощным инструментом в их арсенале. Они помогают анализировать уязвимости, тестировать системы на проникновение и обеспечивать анонимность в сети.

📌Список:
ublock - свободный( не проприетарный ), удобный блокировщик рекламы, он необходим, ведь реклама может быть на сайтах с полезной информацией.
User-agent Switcher - расширение скроет нашу настоящую ОС и браузер, очень полезно, если вы посещаете опасный для вас сайт.
NoScript - очень важное и полезное расширение, которое блокирует все javascript сценарии, это очень практичный инструмент.
Privacy Badger - Расширение балансирует подход к конфиденциальности в Интернете между потребителями и поставщиками контента путем блокировки рекламы и отслеживания файлов cookie, которые не соблюдают настройку «Не отслеживать» в веб-браузере пользователя.
Canvas Defender - Вместо того, чтобы полностью блокировать отпечатки пальцев холста, надстройка Canvas Defender создает уникальный и постоянный шум, который скрывает ваш настоящий отпечаток пальца холста.
FoxyProxy - Удобное расширение для работы с прокси, можно использовать вместе с Burp Suite.
Cookie-Editor - Позволяет создавать, удалять, менять куки на странице.

📌Ссылки на расширения:

ublock - https://addons.mozilla.org/ru/firefox/addon/ublock-origin/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search

User-agent Switcher - https://addons.mozilla.org/ru/firefox/addon/user-agent-switcher-revived/

NoScript - https://addons.mozilla.org/ru/firefox/addon/noscript/

PrivacyBadger - https://addons.mozilla.org/ru/firefox/addon/privacy-badger17/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search

Canvas Defender - https://addons.mozilla.org/de/firefox/addon/no-canvas-fingerprinting/

FoxyProxy - https://addons.mozilla.org/ru/firefox/addon/foxyproxy-standard/

Cookie-Editor - https://addons.mozilla.org/ru/firefox/addon/cookie-editor/

Читать полностью…

В эпоху кибератак защита данных – приоритет для любого бизнеса. Один из лучших способов укрепить навыки сотрудников – проведение внутренних CTF-соревнований.
🔴 В новой статье рассказываем о CTF подробнее.

Что такое CTF?
CTF (Capture The Flag) – это игровые соревнования по кибербезопасности, где участники решают реальные задачи: ищут уязвимости в системах, анализируют исходный код, взламывают веб-приложения и защищают инфраструктуру от атак.

Зачем это бизнесу?
🔴 Повышает уровень кибербезопасности
🔴 Развивает командную работу
🔴 Актуализирует знания сотрудников
🔴 Снижает риски утечек и атак

🚩 Хотите провести CTF в своей компании? Участвуйте в соревнованиях или организуйте собственное! Подробности – на платформе HackerLab!

Присоединяйтесь:
🔸 Платформа с заданиями
🔸 HackerLab Чат
🚀 Телеграм канал HackerLab

Читать полностью…

Stego-Toolkit: Инструмент для скрытия и поиска информации

Stego-Toolkit — это многофункциональная утилита с открытым исходным кодом, которая поддерживает как создание, так и обнаружение стеганографических сообщений.

Этот инструмент, доступный на GitHub, создан для анализа и выполнения стеганографических операций с использованием широкого спектра поддерживаемых форматов и методов.

Возможности Stego-Toolkit
1️⃣ Сокрытие информации
➡️ Утилита позволяет встраивать данные в изображения, аудиофайлы или другие носители. Это может быть текст, бинарные данные или даже другой файл.

2️⃣ Анализ файлов
➡️ Поиск скрытых данных.
➡️ Определение изменений в файле, которые могут свидетельствовать о наличии скрытой информации.

3️⃣ Многоформатность
Поддерживаются различные типы файлов:
➡️ Изображения: PNG, JPEG, BMP.
➡️ Аудио: WAV, MP3.
➡️ Текстовые файлы.

4️⃣ Гибкость использования
➡️ Командная строка для выполнения задач.
➡️ Интеграция с другими инструментами через скрипты и автоматизацию.

5️⃣ Кроссплатформенность
➡️ Stego-Toolkit работает на большинстве популярных операционных систем, включая Linux, macOS и Windows.

❓ Как работает Stego-Toolkit?

Stego-Toolkit включает в себя несколько модулей, которые помогают пользователям решать задачи стеганографии. Основной принцип работы заключается в модификации носителей данных с минимальными визуальными или аудиоформационными изменениями.

Пример использования утилиты для сокрытия данных:

python3 stegohide.py embed -i image.png -o image_with_secret.png -d secret.txt  

Здесь:
➡️ embed — команда для сокрытия данных.
➡️ image.png — исходный файл.
➡️ image_with_secret.png — файл с встраиванием.
➡️ secret.txt — данные, которые нужно скрыть.

Для анализа файлов:

python3 stegohide.py analyze -i suspicious_image.png  

Команда analyze проверяет файл на наличие возможной скрытой информации.

Установка Stego-Toolkit
Stego-Toolkit можно установить из репозитория на GitHub:

git clone https://github.com/DominicBreuker/stego-toolkit.git  
cd stego-toolkit  
docker build -t stego-toolkit .  
docker run -it stego-toolkit  

После установки утилита готова к работе.

Читать полностью…

Резкий рост кибератак (+42% в 2024) поднял долю ИБ-специалистов в IT до 38%. Самое время начать свой путь в ИБ с обширной базой знаний на курсе Академии Кодебай!

Старт: 17 марта. 🔴 Регистрация здесь.

Курс полезен для:
🔴 Технических специалистов, этичных хакеров, разработчиков и всех, интересующихся информационной безопасностью

Вы научитесь:
🔴 Находить и эксплуатировать уязвимости: SQL Injection, OS Command Injection, XSS, LFI, RFI, SSRF и Unsecure File Upload
🔴 Организовывать защиту от перебора паролей, настраивать систему обнаружения вторжений, решать CTF-задания
🔴 Консольным командам ОС Windows и Linux, написанию скриптов
🔴 Ключевым инструментам пентестера: BurpSuite, Nmap, Gobuster, Wfuzz, Sqlmap, Wpscan и других

🚀 По всем вопросам пишите @Codeby_Academy

Читать полностью…

Как атакующие получают администраторские привилегии в Windows? В новой статье мы подробно разберем техники повышения привилегий – от разведки системы до эксплуатации уязвимостей ядра. Это позволит вам лучше понимать атаки и защищать свои системы.

Содержание статьи:

1️⃣ Разведка системы:
🔸 Какие команды помогут собрать информацию о пользователях и процессах?
🔸 Как узнать о работающих службах и политике безопасности?
🔸 Анализ установленных программ и потенциальных уязвимостей

2️⃣ Передача файлов:
🔸 Как безопасно загружать файлы на атакуемую машину?
🔸 Использование PowerShell, certutil, FTP, SMB и других инструментов

3️⃣ Повышение привилегий:
🔸 Методы эксплуатации уязвимостей Windows (включая устаревшие драйверы и ошибки в ядре)
🔸 Использование Metasploit и сторонних эксплойтов
🔸 Обход контроля учетных записей (UAC Bypass)

4️⃣ Защита от атак:
🔸 Как выявлять попытки повышения привилегий?
🔸 Инструменты мониторинга активности и лучшие практики безопасности

🔴 Читать подробнее

Читать полностью…

🐱HashCat - инструмент для взлома паролей

HashCat — это инструмент для проведения атак на хэшированные пароли, который может работать с различными алгоритмами хеширования, такими как MD5, SHA-1, SHA-256, bcrypt, и многими другими. Важной особенностью HashCat является его способность работать не только на процессоре (CPU), но и на видеокарте (GPU), что значительно ускоряет процесс взлома.

🐱Как работает HashCat?
Основной принцип работы HashCat сводится к вычислению хэш-функции для всех возможных паролей и их сопоставлению с заранее полученными хэшами.

1️⃣ Подготовка хэшей - для начала вам нужно получить хэшированные пароли, с которыми вы будете работать. Хэши могут быть получены из различных источников, например, из базы данных или из дампов.

2️⃣ Выбор метода атаки - HashCat предлагает несколько методов атак, включая:
- Атака по словарю (использует заранее подготовленный список возможных паролей).
- Атака с перебором (перебирает все возможные комбинации символов. Это наиболее ресурсоемкий метод, но он полезен для взлома паролей с небольшой длиной).
- Атака с маской (более оптимизированный метод перебора, при котором используется шаблон для пароля (например, если известно, что пароль состоит из 8 символов, а первые 3 — это цифры)).
- Комбинированная атака (сочетает несколько методов атак, например, комбинацию словаря и маски).

3️⃣ Параллельная обработка - после выбора метода атаки HashCat использует вычислительные мощности вашего процессора или видеокарты для быстрого перебора всех возможных вариантов.

4️⃣ Декомпозиция хэшей - когда программа находит совпадение между хэшами, она декодирует исходный пароль.


🐱Установка и настройка HashCat
⌨️ Установка через пакетный менеджер

sudo apt update
sudo apt install hashcat   

⌨️ Загрузка и настройка драйверов для GPU
Если вы планируете использовать GPU для ускорения атак, нужно установить драйвера для вашей видеокарты. Для пользователей NVIDIA это можно сделать с помощью следующих команд:

sudo apt install nvidia-driver
sudo reboot

Для использования GPU нужно указать флаг -D с параметром 2 (в этом случае хэшкет будет использовать только GPU)

hashcat -m 0 -a 0 -D 2 hashes.txt wordlist.txt

Хэшкет по умолчанию использует CPU + GPU (параллельный режим)

⌨️ Запуск HashCat
После установки вы можете запустить HashCat, используя команду:

hashcat -m 0 -a 0 hashes.txt wordlist.txt 

Эта команда использует метод атаки по словарю для взлома хэшированных паролей из файла hashes.txt с использованием словаря wordlist.txt.

А вот вам задание для самостоятельной проверки. Есть хеш в формате md5($text.$salt) и словарь в комментариях под постом. Попробуйте его сбрутить

c25aa32864a0a953be07774f21fa2ba7:cb1742fa1e8075b8eb74c8681570510f

Пишите свои ответы! И варианты решения

Читать полностью…

Друзья, уже скоро начнется прямой эфир по пентесту Active Directory! 😎

Ведущий эфира — Андрей Хомлюк, куратор курса по AD, участник команды RHTxF13xSHD на Standoff с 15-летним опытом в сфере информационной безопасности. Задавайте вопросы в нашем чате и Андрей ответит на них во время трансляции!

🚀 Задать вопрос — @codeby_one

Читать полностью…

Metagoofil

Metagoofil — это инструмент сбора информации, разработанный для извлечения метаданных из общедоступных документов (pdf,doc,xls,ppt,docx,pptx,xlsx), принадлежащих целевой компании
Metagoofil выполнит поиск в Google, чтобы идентифицировать и загрузить документы на локальный диск. Важно отметить, что Metagoofil больше не извлекает метаданные.

⬆️Запуск:

metagoofil

📌Команда:

metagoofil -d example.org -t pdf -l 100 -n 25 -o examplepdf -f examplepdf.html

💡где:

-d - это домен
-t - это тип файла, который мы ищем
-l - лимит на вывод, то есть не более 100
-n - скачать определённое кол-во документов
-o - сохранить их в директории
-f - cохранить вывод программы

В правильной среде и необходимой информацией этот инструмент может проявить себя.

Читать полностью…

🌷 Открытие весеннего сезона и новые задания на платформе Codeby Games!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе.

Призы:
🥇1 место — Oculus Quest 3 512 GB
🥈2 место — Nintendo Switch OLED
🥉3 место — Клавиатура Keychron Q5
4-10 место — 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на Codeby Games

📆 Сезон завершается 31 мая
————————————
Новые задания:

⚙️ Реверс-инжиниринг - i64

🖼 Стеганография - Машина времени

🌍 Веб - Ghost Cloud

🚩 Желаем каждому провести весенние дни с комфортом и отличным настроением и до встречи на Codeby Games!

Читать полностью…

🚩 Итоги зимнего сезона на платформе Codeby Games

Зимний сезон подошёл к концу, а это значит, что пришло время объявить победителей!

🥇Term1nal - Playstation 5 Digital Edition
🥈C00l_N1k - Nintendo Switch OLED
🥉fefu co11ap5z - Flipper Zero

4-10 место — 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на Codeby Games

Убедительная просьба к победителям зимнего сезона: в настройках профиля пользователя указать свой Telegram для связи!

Благодарим всех за участие и желаем удачи в весеннем сезоне, который стартует 1 марта! 🌸

Читать полностью…

Сrowbar

Crowbar (ранее известный как Levye) — это инструмент для подбора паролей, который можно использовать во время тестов на проникновение. Он был разработан для подбора паролей некоторых протоколов другим способом в соответствии с другими популярными инструментами для подбора паролей. Например, в то время как большинство инструментов для подбора паролей используют имя пользователя и пароль для подбора паролей SSH, Crowbar использует ключ(и) SSH. Это позволяет использовать любые закрытые ключи, полученные во время тестов на проникновение, для атаки на другие серверы SSH.

📎В настоящее время Crowbar поддерживает:
⏺️OpenVPN
⏺️Протокол удаленного рабочего стола (RDP) с поддержкой NLA
⏺️Аутентификация закрытого ключа SSH
⏺️Аутентификация ключа VNC

📌Установка:
Есть 2 способа установки:
1️⃣

sudo apt install -y crowbar

2️⃣

git clone https://github.com/galkan/crowbar

pip3 install -r requirements.txt

➡️Запуск:

crowbar --help

🖥Для подбора пароля для SSH используем такую команду:

crowbar -b sshkey -k ~/.ssh/id_rsa -u kali -s 127.0.0.1/32

Где, -b - это то, что мы будем брутить
-k - конфигурационный файл (в нашем случае id_rsa)
-u - имя пользователя
-s - сервер куда мы подключаемся

🖥Для подбра пароля для RDP используем такую команду:

crowbar -b rdp -s 127.0.0.1/32 -u Windowz -c 12345six

Где, -c - это пароль

💡Для указания файла нужно использовать заглавные буквы в ключах (-C /path/to/wordlist)

Читать полностью…

Reaver Fork t6x

Reaver WPS Fork t6x — это инструмент для проведения атак на WPS (Wi-Fi Protected Setup), который помогает находить слабости в Wi-Fi сетях с включённой функцией WPS. Этот форк улучшает оригинальную утилиту Reaver, добавляя стабильность, производительность и новые функции.

➡️ Как работает Reaver?

Основной принцип работы Reaver заключается в переборе PIN-кодов WPS до нахождения правильного, что позволяет получить доступ к настройкам маршрутизатора и извлечь WPA/WPA2 пароль.

1️⃣ Идентификация цели
Перед началом атаки Reaver использует утилиту wash для поиска Wi-Fi сетей с включённой функцией WPS. Вы можете получить список доступных сетей, чтобы выбрать цель для тестирования.

2️⃣ Перебор PIN-кодов
Reaver последовательно отправляет PIN-коды к маршрутизатору, используя механизмы WPS. Атака разделяется на две части:
• Перебор первых 4 цифр PIN-кода.
• Перебор последних 3 цифр.
Такой подход значительно сокращает общее количество комбинаций.

3️⃣ Обход защит
Некоторые маршрутизаторы применяют защиту, блокируя WPS после нескольких попыток. Форк t6x добавляет функции, которые позволяют обходить эти механизмы:
• Задержки между попытками.
• Использование фальшивых MAC-адресов.
• Автоматическое возобновление атаки после блокировки.

4️⃣ Извлечение WPA/WPA2 пароля
После успешного подбора PIN, Reaver извлекает пароль сети, что позволяет подключиться к Wi-Fi.

➡️ Установка и настройка Reaver

Утилита устанавливается из исходного кода с GitHub

sudo apt install build-essential libpcap-dev aircrack-ng git
git clone https://github.com/t6x/reaver-wps-fork-t6x
cd reaver-wps-fork-t6x/src
./configure
make
sudo make install

➡️ Пример использования wash и reaver

🔍 Сканирование сетей с помощью wash

root@kali:~# wash -i wlan0mon -c 6 -C
BSSID               Ch  dBm  WPS  Lck  Vendor    ESSID
------------------------------------------------------
E0:3F:49:6A:57:78    6  -73  1.0  No   Unknown   ASUS

-i - выбор интерфейса для сканирования
-с - выбор канала
-С - игнорирование ошибок контрольной суммы кадров

🦴 Пример использования reaver

root@kali:~# reaver -i wlan0mon -b E0:3F:49:6A:57:78 -v

Reaver v1.6.5 WiFi Protected Setup Attack Tool
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

[+] Waiting for beacon from E0:3F:49:6A:57:78
[+] Associated with E0:3F:49:6A:57:78 (ESSID: ASUS)
[+] Trying pin 12345670

-i - выбор интерфейса
-b - MAC адрес цели
-v - более подробный вывод процесса работы

Читать полностью…

XSSER

xsser - Cross Site «Scripter» (он же XSSer) — это автоматическая платформа для обнаружения, эксплуатации и сообщения о XSS-уязвимостях в веб-приложениях. Он предоставляет несколько вариантов, позволяющих попытаться обойти определенные фильтры и различные специальные методы внедрения кода.
XSSer имеет предустановленные вектора атаки/фаззинга XSS и может обходить-эксплуатировать код в нескольких браузерах/WAF:
⏺️[PHPIDS]: PHP-IDS
⏺️[Imperva]: Imperva Incapsula WAF
⏺️[WebKnight]: WebKnight WAF
⏺️[F5]: F5 Big IP WAF
⏺️[Barracuda]: Barracuda WAF
⏺️[ModSec]: Mod-Security
⏺️[QuickDF]: QuickDefense
⏺️[Sucuri]: SucuriWAF
⏺️[Chrome]: Google Chrome
⏺️[IE]: Internet Explorer
⏺️[FF]: движок рендеринга Mozilla Gecko, используемый Firefox/Iceweasel
⏺️[NS-IE]: Netscape в режиме движка рендеринга IE
⏺️[NS-G]: Netscape в режиме движка рендеринга Gecko
⏺️[Opera]: Браузер Opera

📌Установка и запуск:

git clone https://github.com/epsylon/xsser 

pip3 install cairocffi

pip3 install pygeoip

./xsser -h

💡Если при установке у вас выскакивает ошибка "error: externally-managed-environment", не забывайте указывать ключ —break-system-packages

📎Примеры:
Ключём -u мы задаём цель, а ключ -g происходит от слова GET, так что это то, что будет в GET.
Здесь аналогично с утилитой FUFF, нужно подставить ключевое слово туда, где будет осуществляться перебор.

./xsser -u 'http://localhost/' -g '?{PARAM}=XSS'

У утилиты также имеется gui интерфейс, вызвать его можно этой командой:

./xsser --gtk

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🕵️ Категория Форензика — Системный лог

🔎 Категория OSINT — Спасибо за праздник

Приятного хакинга!

Читать полностью…

💀 EDR следит за тобой: Как обходить стековую телеметрию с Callback и ThreadPool?

Современные системы безопасности не просто сканируют файлы и процессы — они активно отслеживают всю цепочку вызовов API, используя ETW (Event Tracing for Windows). Даже если вредоносный код маскируется, а системные функции подменяются, анализ стека вызовов выдаст аномалии.

Как EDR палит вредоносные вызовы?
Большинство антивирусов и EDR-мониторов перехватывают API-функции не напрямую, а анализируя контекст вызова. Они смотрят:
1️⃣ Кто вызвал функцию (какой адрес в стеке?).
2️⃣ Есть ли подозрительные «прыжки» в стековом фрейме?
3️⃣ Используются ли техники маскировки (inline-hook, trampolines, shellcode)?

🔴 Простая подмена API больше не спасает – защита работает на глубоком уровне, проверяя вызовы вплоть до user-mode->kernel-mode транзита.

Но можно ли скрыть подозрительные вызовы в стеке? Да! Один из мощных способов — асинхронное выполнение кода через системные механизмы:

🔸 Использование ThreadPool (TpAllocWork, TpPostWork, CreateThreadpoolWork) — переносит выполнение кода в системные потоки.
🔸 Обратные вызовы (Callback) и APC (Asynchronous Procedure Calls) — выполняют код не напрямую, а в контексте другого потока.
🔸 Использование NtContinue и ROP для перезапуска стека без явного API-вызова.

Содержание статьи:
🔸 Разбор стековой телеметрии EDR на Windows.
🔸 Как Callback & ThreadPool обходят мониторинг стека?
🔸 Практический пример загрузки шеллкода без следов в ETW.

Полный гайд по обходу современных EDR — читайте в статье!

Читать полностью…

Друзья, напоминаем, на каких курсах начинается обучение в марте ⤵️

⭐️ 17 марта 19:00 (мск) — БЕСПЛАТНЫЙ ВЕБИНАР «Как понимание KillChain влияет на эффективность пентеста» с куратором курса «Профессия Пентестер»! Подробности скоро в нашем Телеграм!

Запись до 13 марта:
🌟 Курс «Пентест инфраструктуры Active Directory» — практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать.
🌟 Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности.
🌟 Курс «Реагирование на компьютерные инциденты» — обнаруживаем ВПО и реагируем на сетевые вторжения.

Старт 13 марта:
🌟 Курс «Организация защиты информации на объектах критической информационной инфраструктуры», 187-ФЗ

Cтарт 17 марта:
🌟 Курс «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR)» — ищем и анализируем следы кибервзломов (анализ артефактов, работа с opensource инструментами).
🌟 Курс «Введение в Информационную Безопасность» — изучаем принципы веб-разработки, виртуализации, уязвимостей веб-приложений, CTF и др.
🌟 Курс «Основы DevOps» — разрабатываем, тестируем и эксплуатируем.

Cтарт 20 марта:
🌟 Курс «SQL-Injection Master» — внедрим произвольный SQL-код в уязвимые приложения.

Cтарт 24 марта:
🌟 Курс «Python для Пентестера» — освоим парсинг, фаззинг, аргументы командной строки и другие инструменты.
🌟 Курс «Профессия пентестер» — изучаем инструменты: сканеры, Bash-скрипты, пентест AD.

🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Читать полностью…

CLO

CLO или же Cloudpub - это российская альтернатива для ngrok. СloudPub объединяет прокси-сервер, шлюз и туннель в вашу локальную сеть для публикации контента, приложений и API.

💡Возможности:
1️⃣Прокси для приложений
2️⃣Веб-публикация баз данных 1С

💡Назначение:
CloudPub используется для создания публично доступного URL, который перенаправляет трафик из интернета на ваш компьютер.
Это обеспечивает удобный способ предоставления доступа для внешних пользователей к ресурсам на вашем компьютере или на других компьютерах в вашей локальной сети, без необходимости сложных настроек или изменения конфигураций роутеров. CloudPub предоставляет возможность перенаправления HTTP трафика, проброс TCP и UDP портов. Это делает его универсальным инструментом для обеспечения доступа к различным видам локальных ресурсов.
CloudPub доступен как в виде утилиты для командной строки, так и в виде приложения с графическим интерфейсом, что позволяет использовать его как опытным, так и начинающим пользователям.

💡Установка и запуск:
⏺️Для Kali Linux скачиваем пакет deb c официального сайта
⏺️Устанавливаем

dpkg -i cloudpub-x.x.xx-stable-linux-x86_64.deb

⏺️Для docker используем такую команду:

docker run --net=host -it -e TOKEN={TOKEN} cloudpub/cloudpub:latest publish http {PORT}

Docker-версия использует те же параметры командной строки, что и обычная версия.

⏺️Далее создаём аккаунт и берём токен из ЛК. Пишем команду:

./clo set token {Ваш токен из личного кабинета}

И теперь запускаем:

./clo publish http 8080

📌В бесплатной версии доступно:
1️⃣Публикация HTTP/HTTPS сервисов
2️⃣Публикация TCP и UDP на случайном порту
3️⃣Автоматические SSL сертификаты

Читать полностью…

➡️С сегодняшнего дня Codeby Games становится HackerLab.

Друзья, мы приняли решение переименовать платформу, чтобы название лучше отражало её содержание и миссию.

Это не единственное изменение, которое ожидает вас в будущем. Мы активно работаем над новыми обучающими материалами, внедрением элементов геймификации и искусственного интеллекта, чтобы сделать процесс обучения этичному хакингу более увлекательным и эффективным.

🚩 Следите за нашими обновлениями, впереди много интересного!

https://hackerlab.pro/

Читать полностью…

Tplmap

Tplmap – помогает эксплуатировать уязвимости внедрения кода и внедрения шаблона на стороне сервера с помощью ряда методов выхода из песочницы для получения доступа к базовой операционной системе. Методы выхода из песочницы взяты из Server-Side Template Injection: RCE For The Modern Web App Джеймса Кетта, других публичных исследований и оригинальных вкладов в этот инструмент.
Он может эксплуатировать несколько сценариев контекста кода и слепого внедрения. Он также поддерживает внедрение кода типа eval() в Python, Ruby, PHP, Java и универсальные неизолированные шаблонизаторы.

📁Функционал:
1️⃣Выбор HTTP метода
2️⃣Отправка cookie
3️⃣Использование User-Agent
4️⃣Получение shell сразу из утилиты

📌Установка:

git clone https://github.com/epinna/tplmap.git

⬆️Запуск:

python3 tplmap.py

✔️Настройка:
При первом запуске вам высветиться ошибка:

Exiting: module 'collections' has no attribute 'Mapping'

Но решается она довольно просто, мы идём в файл core/plugin.py
В это файле вставляем такие чёрные строки (в список библиотек):

from collections.abc import Mapping
import collections.abc

и на 23 и 24 строках такой код:

if isinstance(d, collections.abc.Mapping):
  if isinstance(v,collections.abc.Mapping):

Готово!

Теперь рассмотрим ключи и как программа работает:
Обычное сканирование на уязвимость параметра к SSTI:

python3 tplmap.py -u 'http://127.0.0.1:80/page?name=John'

Получить доступ к шеллу на сервере:

python3 tplmap.py --os-shell -u 'http://127.0.0.1:80/page?name=John'

Выполнить команду сразу и получить вывод:

python3 tplmap.py --os-cmd=whoami -u 'http://127.0.0.1:80/page?name=John'

Читать полностью…

Друзья, запись вебинара «Первые шаги в пентесте Active Directory» доступна на всех площадках!

🌐 Twitch
😘 YouTube
🌍 VK

Изучим основы пентеста Active Directory и поймем, как RedTeam проводят разведку корпоративных сетей! 🚩

Дарим промокод на скидку 10% VEBINAR10 на курс «Первые шаги в пентесте Active Directory» при оплате до 5 марта 2025 года включительно! Пишите @Codeby_Academy 🚀

🔴 Подробнее о курсе здесь

Спасибо всем, кто был на вебинаре! До новых встреч! 😎

Читать полностью…

▶️ Делимся ссылками на бесплатный открытый вебинар «Первые шаги в пентесте Active Directory»!

Стартуем в 19:00 по МСК — всех зрителей ждёт подарок, подробности в эфире! Присоединяйтесь!

😢 Telegram
🌐 Twitch
😘 YouTube
▶ RuTube
🌍 codeby?_ads_group_id=75857525">VK

Что вас ждет?
🔸 Разберем, что такое Active Directory и почему его безопасность критически важна
🔸 Покажем, как проводить начальную разведку с помощью инструментов nmap, netexec, enum4linux-ng
🔸 Обсудим анализ данных, интерпретацию открытых портов и проверку прав доступа
🔸 Проведем практическую демонстрацию атак: Pass-the-Hash, поиск администраторов, перебор паролей через kerbrute

Изучим основы пентеста Active Directory и поймем, как RedTeam проводят разведку корпоративных сетей — ждем вас! 🚩

🔴 Подробнее о курсе здесь

Спасибо всем, кто был на вебинаре!
Запись вебинара 🔴 ТУТ

Читать полностью…

Напоминаем вам о бесплатном вебинаре с куратором курса «Пентест инфраструктуры Active Directory»! 😎

⭐️ Уже сегодня в 19:00 по МСК — всех зрителей ждёт подарок, подробности в эфире!
🔸 Открытый семинар на YouTube, VK, Twitch, RuTube, Telegram

Ссылки на трансляции появятся в нашем Телеграм канале за час вебинара 🔴@codeby_sec 🚀

Что вас ждет?
🔸 Разберем, что такое Active Directory и почему его безопасность критически важна
🔸 Покажем, как проводить начальную разведку с помощью инструментов nmap, netexec, enum4linux-ng
🔸 Обсудим анализ данных, интерпретацию открытых портов и проверку прав доступа
🔸 Проведем практическую демонстрацию атак: Pass-the-Hash, поиск администраторов, перебор паролей через kerbrute

Изучим основы пентеста Active Directory и поймем, как RedTeam проводят разведку корпоративных сетей — ждем вас! 🚩

🔴 Подробнее о курсе здесь

Читать полностью…

👽Airgeddon: Гид по использованию инструмента для взлома Wi-Fi сетей

Airgeddon — это инструмент, который работает на базе Kali Linux и предназначен для тестирования безопасности беспроводных сетей, используя различные методы атак.

Он поддерживает множество сценариев атак, таких как:
⚠️ Атаки на точки доступа (AP), например, создание фальшивых точек доступа для сбора данных о пользователях.
⚠️ Атаки на клиенты, такие как атака "deauth" (деаутентификация), которая может принудительно отключить пользователей от сети.
⚠️ Атаки на пароли, включая перебор паролей с использованием словарей.
⚠️ Перехват трафика, включая перехват данных, проходящих через уязвимую сеть.

👽 Установка и настройка
Установка в Kali Linux
Airgeddon доступен в стандартных репозиториях Kali Linux, и установить его можно через команду:

sudo apt install airgeddon

👽 Зависимости
Важно убедиться, что у вас установлены все необходимые зависимости, такие как aircrack-ng, dnsmasq, hostapd, macchanger и другие, которые используются для проведения атак и анализа сетей.

👽 Запуск Airgeddon
После установки запустите Airgeddon с помощью команды:

sudo airgeddon

Инструмент запускается в графическом интерфейсе командной строки, где вы можете выбрать необходимые опции для проведения атак.


🛸 Возможности Airgeddon
👽 Атака deauth (деаутентификация) - отключает устройства от Wi-Fi сети, заставляя их переподключиться. Это может привести к подключению к фальшивой точке доступа или передаче данных для анализа.

👽 Создание фальшивой точки доступа (Evil Portal) - создает подделку настоящей сети для сбора данных пользователей, случайно подключившихся к ней, и тестирования уязвимостей в сетевых настройках.

👽 Перехват трафика - позволяет перехватывать пакеты данных, включая аутентификацию и обмен данными между устройствами.

👽 Перебор паролей Wi-Fi - атака на пароль сети с использованием словаря или brute-force метода для взлома WPA/WPA2.

👽 Атака на Wi-Fi Protected Setup (WPS) - используется для упрощения подключения устройств к сети. Атака может привести к раскрытию пароля.

👽 Графический интерфейс и обновления - упрощает настройку атак и регулярно обновляется, улучшая функциональность.

Читать полностью…

DirBuster - инструмент для брутфорса директорий на веб-серверах.

DirBuster — это инструмент с открытым исходным кодом для брутфорс-атаки на веб-сервера с целью поиска скрытых директорий и файлов. Он помогает идентифицировать ресурсы, которые не видны через обычное сканирование или ссылками на сайте.

1️⃣ Установка
На Kali Linux или Debian-подобных системах достаточно выполнить команду:

sudo apt-get install dirbuster

2️⃣ Запуск инструмента

dirbuster

В графическом интерфейсе выберите параметры:
➡️ URL сайта, на котором хотите провести брутфорс.
➡️ Словарь — выберите или загрузите словарь для поиска.
➡️ Тип HTTP-метода — обычно это GET, но в некоторых случаях можно использовать POST.

3️⃣Настройка и запуск атаки
DirBuster предоставляет несколько настроек для оптимизации работы:
➡️ Количество потоков — для более быстрой атаки можно увеличить количество потоков.
➡️ Фильтрация по кодам ответа — можно настроить, чтобы исключать коды ответа 200 (OK) для файлов и директорий, которые не имеют интереса.

После настройки запустите процесс, и DirBuster начнёт брутфорсить директории на указанном сайте.

4️⃣ Анализ результатов
После завершения атаки DirBuster покажет список найденных директорий и файлов. Информация будет представлена в виде таблицы, где будут указаны коды ответов и предполагаемые ресурсы. Важно обратить внимание на коды 200 (существующие ресурсы) и 403 (Forbidden), так как эти страницы могут содержать интересную информацию.


🧐 Функции DirBuster
1️⃣ DirBuster использует стандартный HTTP-запрос для взаимодействия с сервером. Он может отправлять запросы GET и POST для поиска ресурсов.

2️⃣ DirBuster является словарь — список директорий и файлов, который будет перебираться. По умолчанию инструмент поставляется с несколькими словарями, но пользователи могут загрузить свои собственные для более точных атак.

3️⃣ DirBuster поддерживает многопоточность, что позволяет ускорить процесс брутфорса. Вы можете настроить количество потоков в зависимости от мощности вашего устройства и пропускной способности сети.

4️⃣ DirBuster анализирует полученные ответы от сервера и фильтрует их, показывая только те, которые могут представлять интерес. Например, если сервер возвращает код состояния 404 (Not Found), то это скорее всего несуществующий ресурс, и его можно игнорировать.

Читать полностью…

Вчера OpenAI выкатила отчет по GPT-4.5 (сама модель выйдет чуть позже), последней модели без цепочки рассуждений.

Теперь это крупнейшая модель компании, её вычислительная эффективность улучшена в 10 раз в сравнение с GPT-4. Широкая база знаний, улучшенная способность следовать намерениям пользователя и более высокий эмоциональный интеллект, позволяет модели интуитивно объединять идеи в беседах, точно интерпретировать сигналы и неявные ожидания. Это делает модель особенно полезной в написании текстов, дизайне и повседневных задачах.

Выбор парадигмы ИИ: масштабирование рассуждений и обучение без учителя
Последние 2 года OpenAI расширяет возможности ИИ, масштабируя две взаимодополняющие парадигмы:
🔴 Масштабирование рассуждений позволяет моделям самостоятельно формировать последовательную цепочку рассуждений перед выдачей ответа пользователю, что дает им возможность эффективно решать сложные технические и логические задачи. Примерами таких моделей являются o1 и o3‑mini
🔴 Обучение без учителя, с другой стороны, повышает точность модели мира и интуицию нейросети

В новой нейросети реализован именно второй подход. За счет увеличения объема вычислений и данных, а также инноваций в архитектуре и оптимизации, OpenAI создали модель, которая обладает более широкими знаниями и более глубоким пониманием мира, что привело к уменьшению галлюцинаций и большей надежности. В демонстрации показан путь от первой GPT, не понимающей сути вопроса до последней модели, которая может развернуто и точно ответить на поставленный вопрос.

Повышение управляемости и безопасности
В GPT‑4.5 применены новые алгоритмы, позволяющие использовать данные, сгенерированные меньшими моделями, для повышения управляемости и тонкого понимания намерений пользователя, что обеспечивает более естественное общение и улучшенное эмоциональное восприятие запросов. Модель обучена отдавать предпочтение системным промптам, что эффективно противодействует обходу ограничений: при конфликте системного и пользовательского промтов точность достигает 76–77%, а в тестах с человеческими атаками – 0.99 по сравнению с 0.97 у GPT‑4o.

Что дальше
GPT-4.5 не думает, прежде чем ответить, что делает его сильные стороны особенно отличными от моделей рассуждения. По сравнению с o1 и o3‑mini, GPT‑4.5 является более универсальной и изначально более умной моделью. OpenAI считают, что рассуждение станет основной способностью будущих моделей и что два подхода к масштабированию — предварительное обучение и рассуждение — будут дополнять друг друга. По мере того, как такие модели, как GPT-4.5, становятся умнее и более осведомленными благодаря предварительному обучению, они будут служить еще более прочной основой для рассуждений и использования инструментов агентами.

🔴 Как вам тематика нейросетей? Хотите больше статей об этом?

Читать полностью…