📄 Вредоносные PDF-редактор похищают учетные данные пользователей

💻 Вредоносное ПО TamperedChef, замаскированное под поддельные PDF-редакторы, похищает учетные данные и файлы Cookie.

ℹ️ В основе кампании лежит использование нескольких фальшивых сайтов для продвижения установщика бесплатного PDF-редактора AppSuite PDF Editor, который после установки и запуска выводит на экран пользователю предложение согласиться с условиями обслуживания и политикой конфиденциальности программного обеспечения.

🪟 Однако в фоновом режиме программа установки скрытно запрашивает у внешнего сервера удаление PDF-редактора, одновременно настраивая сохранение на хосте, внося изменения в реестр Windows, чтобы обеспечить автоматический запуск загруженного исполняемого файла после перезагрузки. Ключ реестра содержит параметр --cm arguments для передачи инструкций исполняемому файлу

💻 Чаще всего злоумышленники используют инструмент AppSuite PDF Editor, И, как утверждает компания G FATA, является бэкдором, который активно скачивают пользователи.

Читать полностью…

NanoDump - "швейцарский нож" для извлечения памяти процесса LSASS.

📕 Немного теории
🔺LSASS (Local Security Authority Subsystem Service) — системный сервис в Windows, который отвечает за проверку пользователей при входе, хранение и выдачу токенов, управление политиками безопасности и т. п.

Соответственно, в случае создания дампа LSASS, злоумышленники получают хэши паролей пользователей или даже пароли в открытом виде, токены и сессионные ключи, которые можно использовать для перехвата сессий;

🔺Дескриптор — ссылка или ключ, который операционная система даёт процессу, чтобы тот мог работать с каким-то объектом: файлом, сокетом, процессом, памятью. Дескриптор к процессу позволяет читать/писать его память, запускать действия от его имени.

Злоумышленники часто пытаются получить или скопировать дескриптор, который имеет нужные привилегии к LSASS, чтобы затем получить доступ к его памяти — без того чтобы напрямую запрашивать у системы высокие права.

Функции инструмента
1️⃣Разветвление процесса
Чтобы избежать открытия дескриптора LSASS с доступом PROCESS_VM_READ, можно использовать параметр --fork. В таком случае nanodump создаст дескриптор LSASS с доступом PROCESS_CREATE_PROCESS, а затем клонирует процесс. Далее у нового процесса будет снят дамп.

2️⃣Снимок процесса
Аналогично опции --fork, можно использовать --snapshot для создания снимка процесса LSASS с дескриптором доступа PROCESS_CREATE_PROCESS, затем будет создан снимок процесса с помощью PssNtCaptureSnapshot. Снимок будет автоматически освобождён после завершения.

3️⃣Дублирование дескриптора
Поскольку открытие дескриптора LSASS может быть обнаружено, nanodump может вместо этого искать существующие дескрипторы LSASS. Если такой дескриптор найден, он будет скопирован и использован для создания минидампа.

4️⃣Повышение привилегий дескриптора
Можно получить дескриптор LSASS с правами PROCESS_QUERY_LIMITED_INFORMATION, которые, скорее всего, будут в белом списке, и затем повысить привилегии этого дескриптора путём его дублирования.

5️⃣Дублирование дескриптора через Seclogon
Можно обмануть процесс seclogon, заставив его открыть дескриптор LSASS и дублировать его до закрытия с помощью блокировок файлов. Для доступа к этой функциональности используйте флаг --seclogon-duplicate.

Выше перечислены лишь некоторые функции утилиты, более подробно с остальными возможностями можно ознакомиться здесь.

🔺Примеры использования

nanodump --fork --write C:\lsass.dmp

nanodump --seclogon-leak-remote C:\Windows\notepad.exe --fork --valid

nanodump --seclogon-leak-local --fork --valid --write C:\Windows\Temp\lsass.dmp

Читать полностью…

Инструменты безопасной разработки позволяют находить и устранять уязвимости на всех стадиях жизненного цикла приложения — от написания кода до его работы в продакшне ⬆️

Хотите не просто знать эти методики, а профессионально внедрять их на практике?

🟧10 ноября стартует новый курс от Академии Кодебай, созданный специалистами с опытом внедрения DevSecOps в крупнейших ИТ-компаниях.

После обучения вы сможете:
🟧Внедрять безопасные пайплайны
🟧Обеспечивать защиту контейнеров и Kubernetes
🟧Применять современные подходы, такие как Zero Trust.

Успейте записаться на первый поток со скидкой 10%
🟧 Узнать подробнее о курсе
🟧 @CodebyManagerBot

Читать полностью…

Трансляция(Broadcast), одноадресная передача(unicast), многоадресная передача(multicast), anycast — в чем разница?

Читать полностью…

🇨🇳 Китайская группировка атакует сетевые устройства

🐲 Китайская APT-группировка Salt Typhon использует уязвимости в сетевых устройствах и взломал 600 организаций по всему миру.

🌎 Данная группировка продолжает свои атаки, нацеленные на сети по всему миру, включая организации в сфере телекоммуникаций, государственного управления, транспорта, гостиничного бизнеса и военной инфраструктуры.

🏢 В бюллетене , предоставленном властями 13 стран, говорится, что вредоносная деятельность связана с тремя китайскими организациями: Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. и Sichuan Zhixin Ruijie Network Technology Co., Ltd.

👩‍💻 Salt Typhoon был замечен при получении начального доступа путем эксплуатации уязвимых сетевых периферийных устройств от Cisco ( CVE-2018-0171 , CVE-2023-20198 и CVE-2023-20273 ), Ivanti ( CVE-2023-46805 и CVE-2024-21887 ) и Palo Alto Networks ( CVE-2024-3400 ).

Читать полностью…

VHostScan: Целевой поиск виртуальных хостов для профессионалов безопасности

В процессе разведки (Reconnaissance) критически важно обнаружить всю поверхность атаки. Часто на одном IP-адресе размещены десятки веб-приложений, использующих технологию виртуальных хостов (VHosts). Многие из них не числятся в DNS и остаются «скрытыми» — это могут быть тестовые, промежуточные (staging) среды или административные панели, которые зачастую более уязвимы.

Виртуальный хостинг — это метод, позволяющий запускать несколько веб-сайтов (например, site1.com и site2.com) на одном физическом сервере и одном IP-адресе. Веб-сервер (например, Apache или Nginx) определяет, какой именно сайт запрашивает пользователь, анализируя заголовок Host: в HTTP-запросе.

🟧 Стандартные сканеры, работающие только с DNS, такие хосты пропускают. VHostScan — это не просто сканер, а высокоспециализированный инструмент, использующий три различных метода для точного и массового обнаружения виртуальных хостов:
🟧Перебор по словарю - инструмент использует заданный список поддоменов (например, dev, api, test), отправляя запрос для каждого имени HTTP-запрос с соответствующим заголовком Host.
🟧Анализ ответов (Фингерпринтинг) - это основное преимущество утилиты. VHostScan не ограничивается анализом кода ответа. Он сравнивает ответы сервера на валидные и невалидные запросы, анализируя: размер страницы, заголовки ответа, код состояния, хеш содержимого.

Такой подход позволяет reliably обнаруживать хосты, возвращающие кастомные страницы ошибок или перенаправления.

🟧Поддержка современных технологий - инструмент полноценно работает с HTTPS через механизм SNI (Server Name Indication), что обеспечивает корректное сканирование защищённых сайтов. Кроме того, он поддерживает массовую обработку targets и легко интегрируется в автоматизированные пайплайны разведки с такими инструментами, как amass и subfinder.

🟧 Установка и использование

git clone https://github.com/codingo/VHostScan

cd VHostScan

pip3 install -r requirements.txt

🟧 Проверка

VHostScan -h

🟧 Примеры использования
- Простое сканирование (использование базового списка слов)

python3 vhostscan.py -t example.com -w wordlist.txt

- Целевое сканирование с фингерпринтингом. Сначала инструменту нужно узнать, как сервер отвечает на невалидные запросы (создается «отпечаток»), а затем искать аномалии.

python3 vhostscan.py -t example.com -w wordlist.txt --fingerprints

- Массовое сканирование списка целей

python3 vhostscan.py -T targets.txt -w wordlist.txt -o results.json --json-output

Читать полностью…

Представители регуляторов отраслей ИТ и и ИБ — в одном зале. И вы тоже можете быть там, чтобы задать им вопросы напрямую.

18 сентября в Москве состоится ИБ-конференция BIS Summit 2025: фокус на реальную информационную безопасность и регулирование импортозамещения в условиях многообразия ИТ-решений.

Что будет обсуждаться:
▪️Как выполнить Указы №166 и №250 и сохранить бизнес-гибкость
▪️Какие ИТ-решения создают новые подходы в ИБ
▪️ИИ в ИБ, облачные технологии и ИБ-ассоциации в 2025

Офлайн + онлайн

8 часов докладов, демо-зона, нетворкинг с топами и ведущими экспертами отрасли

Программа и регистрация

18 сентября
Москва, Хаятт Ридженси Москва Петровский Парк

Читать полностью…

Очередной громкий взлом в мире децентрализованных финансов всколыхнул криптосообщество. На этот раз под удар хакеров попал Nemo Protocol, а сумма ущерба оценивается в $2,4 миллиона. Это происшествие вновь заставляет задуматься о безопасности DeFi-платформ, особенно тех, что построены на молодом блокчейне Sui.

💛Хронология инцидента
Ирония ситуации в том, что всего за день до инцидента, в воскресенье, команда Nemo успокаивала пользователей, сообщая о плановом техническом обслуживании на 8-9 сентября и заверяя, что все активы «остаются в полной безопасности». Однако уже в понедельнике ведущие компании по аудиту безопасности, PeckShield и CertiK, подняли тревогу, обнаружив подозрительную активность и масштабный отток средств из протокола. Команда Nemo была вынуждена подтвердить факт «инцидента с безопасностью», затронувшего рыночный пул.

💛Что известно о взломе?
- Официально Nemo цифры не назвала, но эксперты из CertiK и PeckShield единодушно оценивают потерю в ~$2,4 млн в различных токенах.
- По предварительным данным CertiK, атака, вероятно, была направлена на манипулирование ценами в кредитном протоколе Nemo. Это сложный вид атаки, при котором хакер искусственно меняет стоимость актива, чтобы обналичить средства пула.
- Все операции со смарт-контрактами были немедленно приостановлены. Команда заявила, что активы в основном хранилище не пострадали, и пообещала предоставить подробный отчет по итогам расследования.

💛Sui под прицелом
Это не первый инцидент на блокчейне Sui. Всего несколько месяцев назад, в мае 2025 года, другой протокол на Sui, Cetus (CETU), был взломан на колоссальные $223 млн. Тот случай вызвал жаркие споры о децентрализации, когда выяснилось, что сеть Sui технически может заморозить средства «по требованию», что противоречит одному из ключевых принципов DeFi.

Повторная крупная атака на протокол в той же экосистеме задает тревожный тренд и бросает тень на безопасность nascent-блокчейнов.

💛Пока команда Nemo разбирается с последствиями взлома, другая DeFi-платформа, Venus Protocol, показала пример эффективного реагирования. Им удалось вернуть $11,4 млн пользователю, ставшему жертвой фишинговой атаки 2 сентября.
Как выяснилось, злоумышленники через вредоносную версию Zoom получили доступ к компьютеру жертвы и смогли обманным путем заставить ее подписать транзакцию, которая назначила хакера делегатом ее счета. Это позволило преступнику брать займы и выводить средства от ее имени. Однако команда Venus среагировала молниеносно и вернула активы в течение 13 часов.

Читать полностью…

Hayabusa: Утилита для быстрого анализа журналов событий Windows

Hayabusa — это инструмент для быстрого анализа журналов событий Windows, ориентированный на создание временных шкал. Данная утилита использует правила Sigma для обнаружения атак и предоставляет удобные средства для анализа данных.

⚡️ Быстрый старт с Hayabusa

1️⃣ Установка утилиты
Скачайте последнюю версию Hayabusa с официальной страницы релизов на GitHub:

https://github.com/Yamato-Security/hayabusa/releases

2️⃣ Запуск утилиты
После загрузки и распаковки архива выполните команду для запуска утилиты:

hayabusa.exe

3️⃣ Основные команды
⏺️ csv-timeline: Создает временную шкалу событий в формате CSV.

hayabusa.exe csv-timeline -f eventlog.evtx

⏺️ json-timeline: Создает временную шкалу событий в формате JSON или JSONL.

hayabusa.exe json-timeline -f eventlog.evtx

⏺️ logon-summary: Выводит сводку по событиям входа в систему.

hayabusa.exe logon-summary -f eventlog.evtx

⏺️ search: Выполняет поиск по ключевым словам или регулярным выражениям в событиях.

hayabusa.exe search -f eventlog.evtx -k "mimikatz"

4️⃣ Пример запуска анализа
Для создания временной шкалы событий из файла eventlog.evtx в формате CSV выполните команду:

hayabusa.exe csv-timeline -f eventlog.evtx -o timeline.csv

🔍 Возможности анализа
• Фильтрация по времени: Укажите диапазон дат для анализа.

hayabusa.exe csv-timeline -f eventlog.evtx --timeline-start "2025-01-01 00:00:00" --timeline-end "2025-01-31 23:59:59"

• Использование профилей: Выберите профиль для настройки уровня детализации.

hayabusa.exe csv-timeline -f eventlog.evtx -p verbose

• Включение фильтра по Event ID: Ускоряет анализ, но может пропустить некоторые предупреждения.

hayabusa.exe csv-timeline -f eventlog.evtx -E

• Запуск только встроенных правил: Используйте встроенные правила для анализа.

hayabusa.exe csv-timeline -f eventlog.evtx -r rules/builtin

Читать полностью…

Запускаем новый курс — DevSecOps на практике

⚙️ Знаете, в чём главная фишка DevSecOps?
Безопасность перестаёт быть «тормозом» для разработки. Вместо бесконечных проверок «после релиза» — всё встроено в пайплайн. Код проходит SAST, контейнер — сканируется, инфраструктура — проверяется на compliance. В итоге релизы выходят быстрее, а не медленнее.

Именно об этом наш новый курс:
🟡9 модулей, 48 занятий, 90% практики;
🟡инструменты: Docker, Kubernetes, Terraform, Vault, Ansible, Prometheus;
🟡финальный экзамен в стиле OSCP — только реальные задачи;
🟡опыт авторов: внедрение Zero Trust, построение SOC, DevSec-инструменты для Burp Suite.

❓ Узнать подробнее о курсе

🗓 Старт первого потока — 10 ноября 2025 со скидкой 10%: 125 990 ₽ 113 391 ₽

По данным Gartner, за последние 3 года запрос на специалистов DevSecOps вырос в разы. Компании осознали: «сначала сделать, потом чинить» — слишком дорого. Поэтому инженеры, которые умеют внедрять безопасность в CI/CD, сегодня — одна из самых востребованных профессий в ИБ и DevOps.

⬇️ Записаться со скидкой
🥇 @CodebyManagerBot

Читать полностью…

‼️ Исследователи из компании ESET обнаружили первую программу вымогатель PromptLock, написанную на базе искусственного интеллекта. Программа использует скрипты на языке Lua для кражи и шифрования данных в системах Windows, macOS и Linux. Кроме того, вымогатель использует свободно доступную языковую модель, доступ к которой осуществляется через API. Это означает, что сгенерированные вредоносные скрипты передаются непосредственно на заражённое устройство.

🔺 Принцип работы
🔺PromptLock написан на Golang и использует API Ollama для доступа к большой языковой модели gpt-oss:20b. Сама модель размещена на удалённом сервере, доступ к которому злоумышленник получет через прокси туннель.
Вредоносная программа использует жестко запрограммированные промпты, заставляющие модель динамически генерировать вредоносные скрипты на языке Lua для следующих целей:
🔺 перечисление файлов в локальной файловой системе;
🔺 проверка целевых файлов;
🔺 кража данных;
🔺 шифрование файлов с использованием нетипичного для программ вымогателей алгоритма SPECK;
🔺 уничтожение данных (в текущих версиях не реализована).

🔺Специалисты ESET сообщили, что данное ВПО не было обнаружено в реальных атаках и скорее является прототипом и экспериментальной программой. Некоторые признаки, указывающие на это:
🔺 использование слабого алгоритма шифрования;
🔺 жестко запрограммированный биткоин адрес;
🔺 нереализованная функция уничтожения данных.

🔺Таким образом, появление PromptLock свидетельствует о том, что искусственный интеллект может быть использован в качестве оружия в вредоносных программах, предлагая кроссплатформенные возможности, гибкость, новые способы уклонения от антивирусных программ и снижая порог вхождения для злоумышленников.

Читать полностью…

Mobile Security Framework (MobSF): Универсальный инструмент для мобильной безопасности

Mobile Security Framework (MobSF) — это платформа для тестирования безопасности мобильных приложений, включающая в себя статический и динамический анализ, анализ вредоносного ПО и оценку безопасности. Она помогает специалистам по тестированию на проникновение, разработчикам и исследователям безопасности быстро и эффективно находить уязвимости в мобильных приложениях.

Основные возможности MobSF
1️⃣ Статический анализ (SAST)
• Поддерживает анализ APK, IPA, AAB, APPX и исходного кода. Позволяет выявлять жёстко прописанные секреты, слабую криптографию, небезопасное хранение и избыточные разрешения.
2️⃣ Динамический анализ (DAST)
• Выполняется в эмуляторах Android (и частично iOS) с возможностью мониторинга сетевых запросов и поведения приложения в runtime. Однако полноценный DAST на реальных устройствах iOS не поддерживается.
3️⃣ Анализ бинарников и вредоносных программ
• Декомпиляция приложений и анализ без доступа к исходному коду. Выявляет встроенные вредоносные компоненты, трекеры, подозрительные поведения.
4️⃣ API-инспектор (Web API Viewer)
• Отображает конечные точки API, заголовки запросов/ответов, параметры и механизмы аутентификации для ручной проверки.
5️⃣ Автоматизация и интеграция в DevSecOps
• CLI и REST API позволяютстроить автоматическое сканирование в CI/CD, делать безопасность встроенной частью процесса разработки.

⬇️ Установка и запуск

Рекомендуемый способ — через Docker:

docker pull opensecurity/mobile-security-framework-mobsf:latest
docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

➡️ После запуска MobSF доступен по адресу http://127.0.0.1:8000.
➡️ Стандартные учетные данные: mobsf/mobsf

Краткий гайд по работе с MobSF

➡️ Запустите MobSF (Docker или скрипты)
➡️ Откройте веб-интерфейс (обычно localhost:8000)
➡️ Загрузите APK, IPA, бинарник или исходный код
➡️ Анализ — отчёты по уязвимостям, API, поведению
➡️ Проанализируйте отчёт: уязвимости, рекомендации, сетевые запросы

⚠️ Различные блоги отмечают, что анализ отчёта может быть обширным, но MobSF отлично подходит в качестве стартовой отправной точки для тестирования безопасности.

Читать полностью…

Открытие осеннего сезона и новые задания на платформе HackerLab!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе.

🎁 Призы и список призовых мест будут объявлены позже - следите за обновлениями!

📆 Сезон завершается 30 ноября
————————————
🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — Осудительное поведение

👩‍💻 Категория Pentest Machines — GreenEdge
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Секретник
🟠OSINT - Шаги по следу

Приятного хакинга!

Читать полностью…

Frida — Инструмент для динамической инструментализации приложений

Frida — это гибкий инструмент командной строки, позволяющий встраивать собственные скрипты в работающие приложения для анализа их поведения в реальном времени. Он используется исследователями безопасности, реверс-инженерами и разработчиками для изучения и модификации приложений без изменения исходного кода.

👑 Основные возможности Frida

➡️ Широкая поддержка платформ
🔴Android, iOS, Windows, macOS, Linux, QNX и другие.
🔴Поддержка архитектур x86, x64, ARM, ARM64, MIPS.

➡️ Динамическое внедрение скриптов
🔴Написание хуков на JavaScript, Python, C и других языках.
🔴Изменение функций, мониторинг API и перехват данных «на лету».

➡️ Набор CLI-инструментов
🔴frida-trace для трассировки функций.
🔴frida-ps для просмотра процессов.
🔴frida-ls-devices для управления подключениями.

➡️ Встроенный движок Gum
🔴 Обеспечивает интерцепцию функций, отслеживание инструкций (Stalker), анализ памяти.


🔴 Установка и использование

🕷️ Установите Frida:

pip install frida-tools

🕷️ Запустите сервер на устройстве (например, Android):

adb push frida-server /data/local/tmp/
adb shell chmod 755 /data/local/tmp/frida-server
adb shell "/data/local/tmp/frida-server &"

🕷️ Подключитесь и начните трассировку:

frida-trace -U -i "open*" com.example.app

👀 Почему Frida?
• Позволяет изучать приложения без их пересборки.
• Поддерживает скриптинг и автоматизацию.
• Работает на множестве платформ и архитектур.
• Идеален для анализа, отладки и тестирования безопасности.

Читать полностью…

🐁В интернете зафиксирована масштабная кампания по заражению сетевого оборудования с помощью усовершенствованного стелс-модуля.

Исследователи кибербезопасности обнаружили новую вредоносную программу, которая тайно захватывает контроль над сетевыми роутерами и другими устройствами. Целями атаки становятся популярные модели производителей DrayTek, TP-Link, Raisecom и Cisco.

Кампания, проявляющая активность в течение июля 2025 года, использует старый, но эффективный метод: эксплуатацию уязвимостей в веб-интерфейсах устройств. Злоумышленники отправляют специально сформированные HTTP-запросы на незащищенные роутеры, что позволяет им выполнять произвольные команды без необходимости ввода логина или пароля.

➡️Как работает атака?
Атака начинается с простого HTTP-запроса на уязвимый endpoint (точку входа) веб-интерфейса роутера. Например, на роутерах TP-Link Archer AX21 эксплуатируется параметр country, в который подставляется вредоносная команда.

Эти команды заставляют устройство загрузить и запустить специальный скрипт-загрузчик, уникальный для каждой модели роутера. Этот скрипт, в свою очередь, скачивает из интернета основной вредоносный модуль, который предоставляет злоумышленникам полный удаленный контроль над устройством с правами root.

💫«Gayfemboy»: наследник Mirai, но опаснее

Новый malware, получивший от исследователей название «Gayfemboy», является эволюционным продолжением печально известного ботнета Mirai. Однако, он обладает ключевыми улучшениями в области скрытности и модульности.

Для избежания обнаружения вредоносные файлы маскируются под безобидные и названы в соответствии с архитектурами процессоров: aalel для ARM (AArch) и xale для x86-64. Кроме того, код упакован с помощью модифицированной версии утилиты UPX, что затрудняет его автоматический анализ антивирусными системами.

⤵️Глобальный масштаб
Жертвы зафиксированы в Бразилии, Мексике, США, Германии, Франции, Швейцарии, Израиле и Вьетнаме, а среди пострадавших секторов — производство и медиаиндустрия.

Для доставки payload (полезной нагрузки) злоумышленники используют два протокола: HTTP и более простой TFTP, что гарантирует успех даже в сетях с ограниченным исходящим трафиком. Весь вредоносный трафик исходит из двух ключевых узлов: хост для загрузки (220.158.234.135) и источник атакующих запросов (87.121.84.34).

Читать полностью…

⚠️ Скрытые угрозы ресурсов EXE: шелл-код внутри PE-файла

Мы привыкли, что ресурсы PE-файла — это иконки, строки и меню. Но что, если стандартная секция .rsrc — это идеальное укрытие для шелл-кода, одобренное самим Microsoft?

В новой статье разбираем:
▪️Ошибку Microsoft, из-за которой весь софт вынужден использовать стандартные имена секций
▪️Как шелл-код маскируется под картинки, шрифты и другие ресурсы
▪️Два рабочих метода вызова шелл-кода из ресурсов

📍 Читайте подробнее!

#malware #shellcode #exploitation

Читать полностью…

❗️ Velociraptor в руках злоумышленников

🔗 Атакующие стали использовать инструмент криминалистического анализа Velociraptor для развертывания Visual Studio Code для туннелирования C2.

👩‍💻 Как утверждает исследовательская группа Sophos Counter Threat Unit в своем отчете, в одном из инциденте злоумышленник использовал инструмент для загрузки и выполнения Visual Studio Code с вероятным намерением создать туннель к управляемому серверу злоумышленника управления и контроля (C2).

🦠 Хотя известно, что злоумышленники используют законные инструменты удаленного мониторинга и управления (RMM) в своих атаках, использование Velociraptor сигнализирует о тактической эволюции, когда программы реагирования на инциденты используются для получения плацдарма и минимизации необходимости развертывания собственного вредоносного ПО.

Читать полностью…

🧙‍♀️ Caido

Кроссплатформенный инструмент для аудита безопасности веб-приложений, ориентированный на простоту использования и гибкость. Предоставляет собой мощный набор функций для перехвата, анализа и модификации HTTP(S)-трафика в реальном времени, что делает его полезным среди специалистов по информационной безопасности и разработчиков (бесплатный аналог Burp Suite Pro).

🖥 Построен на основе клиент-серверной архитектуры. Может быть представлен в двух вариантах: CLI и Desktop. При использовании CLI необходимо обращаться к интерфейсу Caido через браузер. Приложение Desktop, в свою очередь, имеет ряд преимуществ перед CLI:
⏺️поддержка записи нескольких экземпляров Caido в одном месте.
⏺️запуск предварительно настроенных проектов.

Основные возможности Caido
🌟Sitemap — представление контента, к которому обращается пользователь через домены и поддомены при проксировании трафика через Caido, в виде иерархической древовидной структуры.
🌟Intercept — управление проксируемым трафиком, проверяя, изменяя, перенаправляя и отбрасывая запросы и ответы по мере их передачи между клиентом и сервером.
🌟Replay — создание, замена и отправка отдельных запросов. Каждый отправленный запрос и соответствующий ему ответ записываются, что позволяет сравнивать и определять, как конкретные изменения влияют на ответы.
🌟Automate — отправка множественных запросов программным способом (брутфорс, фаззинг).
🌟Match & Replace — создание правил, которые автоматически добавляют, удаляют или заменяют определённые значения в запросах и ответах при их прохождении через Caido.
🌟Workflows — создание многоэтапных процессов для выполнения определенных действий или преобразований, что позволяет автоматизировать задачи на постоянной или повторяющейся основе.

Кроме того, в инструменте присутствует быстрый и простой способ фильтрации запросов с помощью HTTPQL. Также программа поддерживает установку различных плагинов и пакетов, которые расширяют функциональные возможности Caido, обеспечивая высокую степень персонализации.

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🕵️ Категория Форензика — Лиса

🌍 Категория Веб — Тихая касса

Приятного хакинга!

Читать полностью…

Thermoptic — стелс-прокси для маскировки HTTP-запросов

Thermoptic — это HTTP-прокси, который делает ваши запросы неотличимыми от настоящего браузера Chrome. В отличие от имитации заголовков или TLS-фингерпринтов, инструмент использует сам браузер через Chrome Debugging Protocol, полностью воспроизводя поведение реального клиента.

Почему Thermoptic эффективнее альтернатив
➡️ Большинство решений пытаются имитировать браузерные фингерпринты на уровне TLS, HTTP или TCP. Эти подходы легко выявить из-за малейших расхождений.
➡️ Thermoptic использует сам браузер для выполнения всех слоев — TCP, TLS, HTTP, JavaScript — делая запрос неотличимым от настоящего .
➡️ А любые изменения в поведении браузера автоматически учитываются, достаточно обновить контролируемую версию Chrome.

1️⃣ Склонируйте репозиторий:

git clone https://github.com/mandatoryprogrammer/thermoptic.git

2️⃣ Запустите контейнер:

docker compose up --build

3️⃣ Использование
Отправьте запрос через прокси:

curl --proxy http://changeme:changeme@127.0.0.1:1234 --insecure https://ja4db.com/id/ja4h/

Для корректного SSL используйте CA-сертификат ssl/rootCA.crt.

4️⃣ Пример работы

curl --proxy http://user:pass@127.0.0.1:1234 https://target.com

🔍 Возможности
• Полное совпадение JA4-фингерпринтов (TLS, HTTP, TCP, X509).
• Поддержка cookies и хуков (ON_START, BEFORE_REQUEST, AFTER_REQUEST).
• Реальные браузерные заголовки и сетевое поведение.

Читать полностью…

То, что вы стеснялись спросить про ИБ — новая рубрика в Codeby!

А правда, что пентестеры просто сидят и тыкают "sqlmap"?

Я купил курс, но ничего не понял. Это нормально?

Обязательно ли быть интровертом, чтобы работать в ИБ?

Сколько должно быть чёрного в чёрном худи, чтобы меня приняли в Red Team?

С чего начать карьеру в ИБ, если у меня гуманитарное образование?

Есть вопрос по кибербезу, обучению или нашим курсам, но не хочется писать в чате или кому-то лично?

Иногда не хочется светиться. Поэтому мы запустили анонимную форму: можете задать любой вопрос — глупый, странный или слишком конкретный. Мы выберем интересные и раз в неделю будем отвечать.

👋 Задать вопрос анонимно:
/channel/anonaskbot?start=AskCodeby

🥇 @codeby_sec

Читать полностью…

AdminDirectoryFinder

📕Admin Directory Finder — это инструмент, предназначенный для сканирования и идентификации каталогов в папках администратора, таких как admin/dashboard.php. Идеально подходит для новичков-специалистов по тестированию на проникновение и разработчиков, обеспечивая надлежащий контроль доступа и меры безопасности. Подходит для быстрого анализа.

💻Установка:

git clone https://github.com/tausifzaman/AdminDirectoryFinder.git

cd AdminDirectoryFinder

pipx install rich

📌Запуск:

python3 main.py

Читать полностью…

«Зарплаты от 200к за DevSecOps? Это где?»

Открываешь hh.ru — и там: «Ищем инженера, который умеет одновременно в DevOps и безопасность».
А зарплата — от 200к.

Релизовать код без встроенных проверок безопасности — риск. А специалисты, интегрирующие защиту в DevOps-поток — бесценны. Вот факты:

1️⃣ Глобальный рынок DevSecOps стремительно растёт — от $8,84 млрд в 2024 до $20,24 млрд в 2030, при CAGR ≈ 13,2 %.
2️⃣ По данным Mordor Intelligence, уже в 2025 рынок оценивался в $8,91 млрд, и к 2030 он вырастет до $25,77 млрд (CAGR почти 23,7 %) .

Мы как раз запускаем курс «Профессия DevSecOps-инженер»:
🟧 6 месяцев, 9 модулей, 90% практики, экзамен в стиле OSCP.
🟧 Первый поток — со скидкой 10%: 113 391 ₽.

🟧 Подробнее здесь

Читать полностью…

🎩 Белые хакеры в РФ - В С Ё!

🛡 Минцифры предоставили второй пакет мер по борьбе с кибермошенниками, в котором присутствует наложение запрет на распространение "информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин, либо позволяющая получить доступ к программам для электронных вычислительных машин, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин".

💻 Данная поправка может серьезно повлиять на деятельность "белых хакеров", "багхантеров" и других специалистов, которые пользуются публичными отчетами в своей деятельности и сами распространяют подобную информацию для развития российского ИБ-сообщества. Также на данный момент не понятно, что будет с TI и IR отчетами, которые также предоставляют различные способы кибератаках, которые были ранее замечены.

📋 Минцифры заявляют, что запрет не коснется деятельность "белых хакеров", а затронет лишь распространение информации о способах кибератак.

🉐 Еще этим летом госдума отклонила законопроект о легализации "белых хакеров", в котором не учитывались нормы безопасности КИИ и гостайны, а сегодня запрещает делиться отчетами о кибератаках.

🔺 Что будет дальше?

Читать полностью…

Globbing

Globbing — это техника, при которой вместо точного имени файла используются шаблоны вроде *, ?, []

Допустим, если WAF или фильтр блокирует атаки типа RCE или LFI, попробуйте обойти защиту

/usr/bin/cat /etc/passwd

Будет выглядить как:

/???/???/c?t$IFS/???/p?s?w?d

Это возможно, благодаря возможности Подстановки имени файла в Linux.
Т.е операции, которая распазнаёт эти шаблоны и выполняет расширение пути к файлу.
Проще говоря, Linux понимает что вы хотите от него, это также полезно если вы частично забыли команду.

Читать полностью…

Slither: Статический анализатор для умных контрактов, повышающий безопасность и качество кода

Slither — это современный фреймворк для статического анализа, написанный на Python 3. Он предназначен для глубокого тестирования умных контрактов, написанных на Solidity. В отличие от динамического анализа (например, фаззинга), который выполняется во время работы программы, статический анализ изучает исходный код без его выполнения, выявляя уязвимости, баги и отклонения от лучших практик на ранних стадиях разработки.

➡️Slither предлагает комплексный подход к анализу кода, выходящий далеко за рамки простой проверки синтаксиса.
🟡инструмент содержит предустановленные детекторы, способные находить более 100 типов распространенных уязвимостей, включая: переполнения/исчерпания целочисленного типа (Integer overflows/underflows), перезапись владельца контракта (Ownable contract misuse), доступ к неинициализированным указателям на структуры хранилища.
🟡Slither способен строить графы наследования, графы вызовов функций и диаграммы зависимостей. Это неоценимо для понимания архитектуры сложных проектов, особенно при работе с незнакомым кодом. Он помогает разработчикам увидеть «общую картину» и выявить сложные взаимосвязи, которые могут скрывать логические ошибки.
🟡благодаря командной строке и возможности запуска в автоматическом режиме, Slither легко интегрируется в конвейеры непрерывной интеграции и доставки (CI/CD). Это позволяет проводить автоматические проверки безопасности при каждом коммите, предотвращая попадание потенциально опасного кода в основную ветку.
🟡одно из главных преимуществ Slither — его гибкость. Разработчики могут легко писать собственные детекторы и принтеры, используя богатый API фреймворка. Это позволяет адаптировать инструмент под специфические требования проекта и находить узкоспециализированные шаблоны ошибок.

📎Техническая механика Slither впечатляет:
- Slither сначала компилирует целевой контракт Solidity, используя solc.
- внутренний компилятор Slither преобразует скомпилированный код в собственное промежуточное представление под названием SlithIR.
- анализатор работает с этим промежуточным представлением, применяя к нему статические методы анализа потока данных (data-flow analysis) и статический анализ одиночного присваивания (Static Single Assignment, SSA). Это позволяет точно отслеживать, как данные и управление перемещаются по контракту.
- на основе этого анализа Slither запускает все активные детекторы и принтеры, генерируя понятный и структурированный отчет для пользователя.

🔖Несмотря на мощную внутреннюю архитектуру, начать использовать Slither очень просто. Он устанавливается как пакет Python через pip:

pip install slither-analyzer

Проверяем

slither -h

Запуск базового анализа для контракта в текущей директории осуществляется одной командой:

slither .

👌 Результатом будет детальный отчет с классификацией найденных проблем по уровню серьезности (High, Medium, Low, Informational) и ссылками на соответствующие материалы для их исправления.

Читать полностью…

Минцифры опубликовало список сайтов и сервисов, которые БУДУТ работать во время блокировок

📌Минцифры сообщило, что операторы связи в пилотном режиме обеспечивают доступность в периоды ограничений работы мобильного интернета следующих ➖сервисов и сайтов:
➖сервисы Госуслуг;
➖сервисы «ВКонтакте», «Oдноклассники», Mail.ru и национальный мессенджер Max;
➖сервисы Яндекса (какие именно не уточняется);
➖маркетплейсы Ozon и Wildberries;
➖Avito;
➖Дзен;
➖Rutube;
➖официальный сайт платёжной системы Мир;
➖сайты Правительства и Администрации ➖Президента России;
➖федеральная платформа дистанционного электронного голосования (ДЭГ);
➖операторы связи Билайн, МегаФон, МТС, Ростелеком, T2 (личные кабинеты операторов связи «большой чётверки» — МТС, «МегаФона», «Т2 РТК Холдинга» (бренд Т2) и «ВымпелКома» (бренд «Билайн)).

По доп. данным, также будут доступны:
сервисы Сбербанка, Альфа-банка, Т-банка, Газпромбанка и Национальной системы платежных карт (НСПК);
➖«Кинопоиск»;
➖онлайн-карты 2GIS;
➖сайт магазина «Магнит».

📕Список будет дополняться. Представители «МегаФона» и «ВымпелКома» сообщили СМИ, что механизм, обеспечивающий доступ клиентам к сайтам из «белого» списка уже работает на их сетях.
Как это будет работать?

Минцифры и операторы связи разработали специальное техническое решение, позволяющее не блокировать такие ресурсы.
Операторы уже обеспечивают доступ к этим сервисам в пилотном режиме. Для доступа к интернет‑ресурсам не требуется дополнительной идентификации и прохождения капчи.

Зачем это сделано?

Мера позволит уменьшить для граждан неудобства, вызванные необходимыми для обеспечения безопасности отключениями мобильного интернета.

Читать полностью…

📢 На прошлой неделе в СМИ появились сообщения о том, что Google якобы массово уведомляет всех 2,5 миллиарда пользователей Gmail о необходимости срочно сменить пароли из-за серьезной утечки данных. Как выяснилось, эти заявления являются ложными и основаны на неверной интерпретации реальных событий.

➡️Источник путаницы - два разных инцидента
Путаница возникла из-за двух отдельных событий, которые были ошибочно связаны между собой:
▪️Реальный инцидент с Salesforce в июне 2025 г.: группа хакеров UNC6040 (ShinyHunters) провела атаку на корпоративную систему Salesforce, которую использует Google. Инцидент был локализован и похищенные данные (названия компаний и контактная информация B2B-клиентов) не затронули потребительские аккаунты Gmail, пароли или финансовую информацию.
▪️Не связанный взлом Salesloft: в то же время в СМИ упоминался взлом другой платформы - Salesloft, который также якобы затронул данные Google. Этот инцидент не имеет прямого отношения к безопасности Gmail.

На основе этих событий некоторые СМИ сделали неверный вывод о том, что Gmail подвергся массовой утечке, и Google начал принудительно сбрасывать пароли всем пользователям, что не соответствует действительности.

➡️Официальное опровержение Google
На этой неделе представители Google были вынуждены опубликовать официальное заявление в блоге компании, чтобы развеять мифы.

«Хотим заверить наших пользователей, что защита Gmail надежна и эффективна. Недавно в сети появился ряд недостоверных заявлений, в которых ошибочно утверждалось, что мы выпустили массовое предупреждение для всех пользователей Gmail о серьезной проблеме с безопасностью Gmail. Это совершенно не соответствует действительности», — заявили представители Google.

Компания подчеркнула, что ее системы безопасности по-прежнему блокируют более 99,9% попыток фишинга и вредоносных программ, не позволяя им достичь пользователей.

➡️Суть реального предупреждения Google
Широкое предупреждение о безопасности, которое Google действительно рассылал, было проактивным и рекомендательным, а не экстренным и обязательным к исполнению. Оно было связано с инцидентом в Salesforce и риском последующих целевых фишинговых атак.
▪️Включите двухфакторную аутентификацию (2FA) - это критически важный уровень защиты, который не позволит злоумышленникам получить доступ к вашему аккаунту, даже если они узнают ваш пароль.
▪️Будьте бдительны к фишингу - опасайтесь подозрительных писем, сообщений или звонков с запросом личной информации, логинов или кодов 2FA. Злоумышленники могут использовать украденную в инциденте с Salesforce информацию (например, название вашей компании) для персонализации атак.
▪️Используйте менеджер паролей - создавайте надежные и уникальные пароли для каждого сервиса.

Читать полностью…

"Универсальный ключ от любой системы."

KitHack

Kithack — это фреймворк, предназначенный для автоматизации процесса загрузки и установки различных инструментов для тестирования на проникновение, со специальной опцией, позволяющей генерировать кроссплатформенные бэкдоры с помощью Metasploit Framework.

📕 Характеристика:
➖ Большой выбор утилит для фишинга
➖ Большой выбор утилит для генерации APK-backdoor'ов
➖ Может брутфорсить пароли
➖ Позволяет аттаковать Wi-Fi
➖ Имеет удобный для новичков интерфейс

💻 Установка:

git clone https://github.com/AdrMXR/KitHack.git

cd KitHack

Заходим в файл install.sh и редактируем следующие строки:

pip3 install requests --break-system-packages
pip3 install py-getch --break-system-packages
sudo apt-get install python3-tk
pip3 install pathlib --break-system-packages
pip3 install zenipy --break-system-packages
pip3 install pgrep --break-system-packages
sudo apt-get install libatk-adaptor libgail-common
sudo apt-get purge fcitx-module-dbus

(это строки с 286-293)
Далее запускаем скрипт:

sudo bash install.sh

sudo python3 KitHack.py

Затем можно запустить как обычную утилиту

KitHack

Затем обновляемся

sudo bash update.sh

📌 Использование:

KitHack

или

sudo python3 KitHack.py

Метод взаимодействия схож с Metasploit, выбираем из списка нужный нам каталог и затем выбираем программу, на выбор их очень много.

Читать полностью…

☁️ CloudSploit: Ваш сканер уязвимостей в облаке

CloudSploit — это сканер безопасности для публичных облаков (AWS, Azure, Google Cloud, Oracle Cloud, GitHub). Его задача — автоматически проходить по всем уголкам вашей облачной среды и сверять их с обширным списком лучших практик безопасности (CIS Benchmarks) и известных уязвимостей.

🔺Принцип работы
Вы даёте CloudSploit ключи доступа (с минимально необходимыми привилегиями только на чтение), он подключается к API вашего облачного провайдера, сканирует все доступные сервисы (виртуальные машины, базы данных, бакеты хранилищ, правила сетевого доступа и т.д.), а затем генерирует детальный отчёт о найденных проблемах.

🔺Почему он нужен?
- защита от «человеческого фактора» (CloudSploit ловит ошибки: публичный S3 bucket, SSH-порт 22, открытый всему миру (0.0.0.0/0), невключенное шифрование дисков, неиспользуемые ключи доступа).
- инструмент помогает обеспечить compliance с такими стандартами, как: PCI DSS, HIPAA, GDPR, автоматически проверяя необходимые требования.
- облако — динамическая среда. То, что было безопасно вчера, сегодня может оказаться уязвимым после очередного обновления конфигурации. CloudSploit можно запускать по расписанию, обеспечивая непрерывный контроль.
- вы не можете защитить то, о чём не знаете. CloudSploit показывает полную картину вашей облачной безопасности, часто обнаруживая забытые и неиспользуемые ресурсы, которые несут в себе риски.

🔺Настраиваем и запускаем
🔺Подготовка учётных данных AWS
Первое и самое важное — создаём в AWS IAM-пользователя с правами только на чтение.

P.S. Никогда не используйте ключи root-пользователя или ключи с правами на запись!

1. Зайдите в AWS IAM Console.
2. Создайте нового пользователя.
3. Назначьте ему готовую политику SecurityAudit (или создайте кастомную политику с минимально необходимыми разрешениями на чтение).
4. Сгенерируйте для него Access Key ID и Secret Access Key (сохраните их в надёжное место).

🔺 Запуск через Docker
У вас должен быть установлен Docker. Далее всё просто:

docker run -it --rm -e AWS_ACCESS_KEY_ID=YOUR_ACCESS_KEY \
                     -e AWS_SECRET_ACCESS_KEY=YOUR_SECRET_KEY \
                     aquasec/cloudsploit:latest

Замените YOUR_ACCESS_KEY и YOUR_SECRET_KEY на полученные ранее значения.

🔺 Анализ результатов
После запуска инструмент начнёт сканирование (это может занять несколько минут).
Результаты будут выведены прямо в консоль и окрашены в три цвета:
- красный (HIGH) - критические проблемы (открытый доступ к базе данных. Требуют немедленного внимания).
- жёлтый (MEDIUM) - серьёзные проблемы (устаревшие SSL-сертификаты. Требуют скорейшего исправления).
- зелёный (LOW/OK) - информационные предупреждения или успешные проверки.
Пример вывода:

[cloudtrailEnabled] [MEDIUM] CloudTrail is not enabled on all regions globally.
[ec2OpenPorts] [HIGH] Security Group "default" allows all traffic on port 22 (ssh) from 0.0.0.0/0.
[s3BucketPublicRead] [HIGH] Bucket "my-public-bucket-123" allows public read access.

🔺Получив отчёт, вы можете перейти в соответствующую консоль AWS (например, EC2 для правил Security Groups или S3 для настроек бакета) и устранить найденные недочёты.

Читать полностью…