Gato (Github Attack TOolkit)

Инструмент, который позволяет выявлять и эксплуатировать уязвимости конвейеров в публичных и приватных репозиториях организации на GitHub. Содержит возможности пост-эксплуатации для использования скомпрометированного токена персонального доступа и возможность поиска секретов в GitHub Actions и артефактах публичных репозиториев.

Характеристики
🔺Перечисление привилегий классического GitHub PAT (Personal Access Token)
🔺Перечисление на основе GitHub Code Search API
🔺Перечисление с помощью поиска SourceGraph
🔺Разбор логов запусков GitHub Actions для выявления self-hosted раннеров
🔺Разбор workflow GitHub Actions
🔺Автоматическое выполнение команд через создание форк-pull request
🔺Автоматическое выполнение команд через создание workflow
🔺Автоматическая эксфильтрация секретов из workflow
🔺Поддержка SOCKS5-прокси, HTTPS-прокси
🔺Сканирование секретов в артефактах workflow GitHub Actions

🔺Установка

git clone https://github.com/praetorian-inc/gato && cd gato
python3 -m venv venv && source venv/bin/activate
pip install .

Для работы инструмента требуется классический токен GitHub или токен для установки приложения. Чтобы создать его, необходимо войти в GitHub => Настройки разработчика GitHub => Generate New Token => Generate new token (classic).

После создания этого токена установите переменную среды GH_TOKEN в своей оболочке, выполнив команду export GH_TOKEN=<YOUR_CREATED_TOKEN>. Либо сохраните токен в безопасном менеджере паролей и вводите его при появлении запроса в приложении. При создании токена должно быть как минимум разрешения Actions:read и Contents:read для выполнения модулей перечисления.

🔺Примеры использования
После установки инструмента его можно запустить, введя команду gato или praetorian-gato. Просматривать параметры базового инструмента можно с помощью gato -h, а параметры каждого из модулей инструмента — с помощью следующих команды:
🔺gato search -h
🔺gato enum -h
🔺gato attack -h

Сперва необходимо проверить токен gato e -v.
Допустим ваша цель - EvilCorp. Данная команда выведет список всех репозиториев evilcorp в GitHub. Она определит права доступа пользователя к каждому репозиторию и предоставит информацию о том, к чему у этого пользователя есть доступ.

gato -s e -t evilcorp -oJ evilcorp_gato.json

Если инструмент обнаружил, что пользователь может получить доступ к секретным данным из EvilRepository, и, поскольку токен имеет область действия рабочего процесса, пользователь может украсть их с помощью следующей команды.

gato -s attack -t evilcorp/evilrepository --secrets --delete-action

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🔎 Категория OSINT — Загадка ТАРЙАК

🖼 Категория Стеганография — Робоход
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Бета-панель
🟠Веб - Корпоративное хранилище

Приятного хакинга!

Читать полностью…

🔺GroupPolicyBackdoor - инструмент на Python для эксплуатации векторов атака на объекты групповой политики (GPO). Векторы атак на GPO часто приводят к сценариям повышения привилегий в инфраструктуре с Active Directory.

Конфигурации, внедряемые в целевые объекты групповой политики, называются модулями. Ниже представлен список поддерживаемых инструментом модулей:
🔺Scheduled Tasks — добавить/удалить задачу планировщика или выполнить немедленную задачу.
🔺Groups — добавить/удалить пользователя в локальной группе.
🔺Registry — установить значение ключа реестра.
🔺Files — создать/удалить файлы.
🔺Folders — создать/удалить папки.

🔺Установка

git clone https://github.com/synacktiv/GroupPolicyBackdoor
python3 -m venv .venv && source .venv/bin/activate
python3 -m pip install -r requirements.txt

🔺Примеры использования
Одним из распространенных сценариев является эксплуатация GPO, внедряя в него вредоносную конфигурацию. Пример команды gpo inject, которая добавляет в целевую GPO задачу Immediate Task:

python3 gpb.py gpo inject --domain 'corp.com' --dc 'ad01-dc.corp.com' -k --module modules_templates/ImmediateTask_create.ini --gpo-name 'TARGET_GPO'

Immediate Task описывается в INI-файле ImmediateTask_create.ini, в котором необходимо задать ее параметры. Некоторые примеры можно посмотреть в папке modules_templates. Ниже представлен INI-файл, описывающий, чтобы Immediate Task выполнила команду cmd.exe и была развернута только на компьютере ad01-srv.corp.com.



После выполнения Immediate Task на целевом узле, можно удалить внедренную конфигурацию из GPO, выполнив команду gpo clean, которой нужно передать параметр state_folder, созданный предыдущей командой gpo inject.

python3 gpb.py gpo clean --domain 'corp.com' --dc 'ad01-dc.corp.com' -k --state-folder 'state_folders/<value>'

В случае наличия ошибок действия можно отменять. Изменения GPO часто включают несколько шагов, выполняемых через разные протоколы (SMB / LDAP). Если во время выполнения команды что-то пойдёт не так, GPO может оказаться в некорректном состоянии.

State folders позволяют точно узнать, какие действия были выполнены инструментом до момента сбоя. Действия перечислены в файле actions.json. После этого можно исправить ситуацию вручную или воспользоваться командой restore undo. Эта команда отменит любые действия, описанные в actions.json.

python3 gpb.py restore undo -d corp.com -k --state-folder 'state_folders/<value>'

Читать полностью…

Узнай, насколько хорошо ты разбираешься в DevSecOps! Попробуй разгадать ключевые термины профессии в нашем кроссворде.

💬 Все слова на английском
1 — процесс непрерывной интеграции, тестирования и развертывания.
2 — подход, объединяющий DevOps и безопасность.
3 — действия злоумышленника против системы.
4 — потенциальная опасность для информации или инфраструктуры.
5 — проверка системы или кода на соответствие требованиям.
6 — статический анализ исходного кода на уязвимости.
7 — гибкая методология разработки.
8 — обновление, закрывающее уязвимость или ошибку.
9 — визуальная доска для управления задачами.
10 — система контейнеризации приложений.
11 — анализ безопасности работающего приложения.
12 — практики и процессы защиты инфраструктуры.
13 — Agile-фреймворк для управления проектами.
14 — автоматизированная цепочка этапов разработки и доставки.
15 — методология объединения разработки и эксплуатации.

Читать полностью…

Azure-AppHunter — инструмент для обнаружения избыточных привилегий в Azure

Azure-AppHunter — это открытый PowerShell-инструмент, созданный для выявления чрезмерных прав доступа, назначенных Azure Service Principals и Managed Identities.

⚡️ Основные возможности Azure-AppHunter
➡️ Обнаружение опасных разрешений Microsoft Graph, предоставленных сервисным принципалам (SPs)
➡️ Проверка назначенных ролей Azure AD привилегированного уровня, таких как Global Administrator или App Administrator
➡️ Поиск SP или Managed Identity с правами Owner или Contributor в подписках Azure
➡️ Аутентификация через Device Code как для Microsoft Graph, так и для Azure ARM API
➡️ Минимальные зависимости, лёгкая интеграция в сценарии автоматизации или red-team деятельности


⬇️ Установка и использование

1️⃣ Клонируйте репозиторий:

git clone https://github.com/8ales/Azure-AppHunter.git
cd Azure-AppHunter

2️⃣ Импортируйте модуль PowerShell:

. .\AzureAppHunter.ps1

3️⃣ Аутентификация:

Authenticate -TenantId '<your-tenant-id>' -UseARM

4️⃣ Примеры команд для анализа:
• Перечислить dangerous permissions у Service Principals:
Enumerate -Type ServicePrincipalsDangerousPermissions
• Найти привилегированные роли:
Enumerate -Type PrivilegedRoleAssignments
• Выявить Owner или Contributor роли в подписках:
Enumerate -Type SubscriptionOwnersContributors

🔍 Почему стоит использовать Azure-AppHunter
• Помогает быстро выявлять избыточные права доступа у сервисных аккаунтов, что снижает риск компрометации при атаках через злоупотребление привилегиями.
• Подходит для аудита безопасности в облаке, особенно при смешанных средах и множестве приложений/интеграций.
• Может быть встроен в процессы патч-менеджмента / проверок (security reviews), red teaming, blue teaming.
• Работает с минимальным набором зависимостей, что облегчает развертывание и использование.

Читать полностью…

⚠️ Скрытые угрозы ресурсов EXE: шелл-код внутри PE-файла

Мы привыкли, что ресурсы PE-файла — это иконки, строки и меню. Но что, если стандартная секция .rsrc — это идеальное укрытие для шелл-кода, одобренное самим Microsoft?

В новой статье разбираем:
▪️Ошибку Microsoft, из-за которой весь софт вынужден использовать стандартные имена секций
▪️Как шелл-код маскируется под картинки, шрифты и другие ресурсы
▪️Два рабочих метода вызова шелл-кода из ресурсов

📍 Читайте подробнее!

#malware #shellcode #exploitation

Читать полностью…

❗️ Velociraptor в руках злоумышленников

🔗 Атакующие стали использовать инструмент криминалистического анализа Velociraptor для развертывания Visual Studio Code для туннелирования C2.

👩‍💻 Как утверждает исследовательская группа Sophos Counter Threat Unit в своем отчете, в одном из инциденте злоумышленник использовал инструмент для загрузки и выполнения Visual Studio Code с вероятным намерением создать туннель к управляемому серверу злоумышленника управления и контроля (C2).

🦠 Хотя известно, что злоумышленники используют законные инструменты удаленного мониторинга и управления (RMM) в своих атаках, использование Velociraptor сигнализирует о тактической эволюции, когда программы реагирования на инциденты используются для получения плацдарма и минимизации необходимости развертывания собственного вредоносного ПО.

Читать полностью…

🧙‍♀️ Caido

Кроссплатформенный инструмент для аудита безопасности веб-приложений, ориентированный на простоту использования и гибкость. Предоставляет собой мощный набор функций для перехвата, анализа и модификации HTTP(S)-трафика в реальном времени, что делает его полезным среди специалистов по информационной безопасности и разработчиков (бесплатный аналог Burp Suite Pro).

🖥 Построен на основе клиент-серверной архитектуры. Может быть представлен в двух вариантах: CLI и Desktop. При использовании CLI необходимо обращаться к интерфейсу Caido через браузер. Приложение Desktop, в свою очередь, имеет ряд преимуществ перед CLI:
⏺️поддержка записи нескольких экземпляров Caido в одном месте.
⏺️запуск предварительно настроенных проектов.

Основные возможности Caido
🌟Sitemap — представление контента, к которому обращается пользователь через домены и поддомены при проксировании трафика через Caido, в виде иерархической древовидной структуры.
🌟Intercept — управление проксируемым трафиком, проверяя, изменяя, перенаправляя и отбрасывая запросы и ответы по мере их передачи между клиентом и сервером.
🌟Replay — создание, замена и отправка отдельных запросов. Каждый отправленный запрос и соответствующий ему ответ записываются, что позволяет сравнивать и определять, как конкретные изменения влияют на ответы.
🌟Automate — отправка множественных запросов программным способом (брутфорс, фаззинг).
🌟Match & Replace — создание правил, которые автоматически добавляют, удаляют или заменяют определённые значения в запросах и ответах при их прохождении через Caido.
🌟Workflows — создание многоэтапных процессов для выполнения определенных действий или преобразований, что позволяет автоматизировать задачи на постоянной или повторяющейся основе.

Кроме того, в инструменте присутствует быстрый и простой способ фильтрации запросов с помощью HTTPQL. Также программа поддерживает установку различных плагинов и пакетов, которые расширяют функциональные возможности Caido, обеспечивая высокую степень персонализации.

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🕵️ Категория Форензика — Лиса

🌍 Категория Веб — Тихая касса

Приятного хакинга!

Читать полностью…

Thermoptic — стелс-прокси для маскировки HTTP-запросов

Thermoptic — это HTTP-прокси, который делает ваши запросы неотличимыми от настоящего браузера Chrome. В отличие от имитации заголовков или TLS-фингерпринтов, инструмент использует сам браузер через Chrome Debugging Protocol, полностью воспроизводя поведение реального клиента.

Почему Thermoptic эффективнее альтернатив
➡️ Большинство решений пытаются имитировать браузерные фингерпринты на уровне TLS, HTTP или TCP. Эти подходы легко выявить из-за малейших расхождений.
➡️ Thermoptic использует сам браузер для выполнения всех слоев — TCP, TLS, HTTP, JavaScript — делая запрос неотличимым от настоящего .
➡️ А любые изменения в поведении браузера автоматически учитываются, достаточно обновить контролируемую версию Chrome.

1️⃣ Склонируйте репозиторий:

git clone https://github.com/mandatoryprogrammer/thermoptic.git

2️⃣ Запустите контейнер:

docker compose up --build

3️⃣ Использование
Отправьте запрос через прокси:

curl --proxy http://changeme:changeme@127.0.0.1:1234 --insecure https://ja4db.com/id/ja4h/

Для корректного SSL используйте CA-сертификат ssl/rootCA.crt.

4️⃣ Пример работы

curl --proxy http://user:pass@127.0.0.1:1234 https://target.com

🔍 Возможности
• Полное совпадение JA4-фингерпринтов (TLS, HTTP, TCP, X509).
• Поддержка cookies и хуков (ON_START, BEFORE_REQUEST, AFTER_REQUEST).
• Реальные браузерные заголовки и сетевое поведение.

Читать полностью…

То, что вы стеснялись спросить про ИБ — новая рубрика в Codeby!

А правда, что пентестеры просто сидят и тыкают "sqlmap"?

Я купил курс, но ничего не понял. Это нормально?

Обязательно ли быть интровертом, чтобы работать в ИБ?

Сколько должно быть чёрного в чёрном худи, чтобы меня приняли в Red Team?

С чего начать карьеру в ИБ, если у меня гуманитарное образование?

Есть вопрос по кибербезу, обучению или нашим курсам, но не хочется писать в чате или кому-то лично?

Иногда не хочется светиться. Поэтому мы запустили анонимную форму: можете задать любой вопрос — глупый, странный или слишком конкретный. Мы выберем интересные и раз в неделю будем отвечать.

👋 Задать вопрос анонимно:
/channel/anonaskbot?start=AskCodeby

🥇 @codeby_sec

Читать полностью…

AdminDirectoryFinder

📕Admin Directory Finder — это инструмент, предназначенный для сканирования и идентификации каталогов в папках администратора, таких как admin/dashboard.php. Идеально подходит для новичков-специалистов по тестированию на проникновение и разработчиков, обеспечивая надлежащий контроль доступа и меры безопасности. Подходит для быстрого анализа.

💻Установка:

git clone https://github.com/tausifzaman/AdminDirectoryFinder.git

cd AdminDirectoryFinder

pipx install rich

📌Запуск:

python3 main.py

Читать полностью…

«Зарплаты от 200к за DevSecOps? Это где?»

Открываешь hh.ru — и там: «Ищем инженера, который умеет одновременно в DevOps и безопасность».
А зарплата — от 200к.

Релизовать код без встроенных проверок безопасности — риск. А специалисты, интегрирующие защиту в DevOps-поток — бесценны. Вот факты:

1️⃣ Глобальный рынок DevSecOps стремительно растёт — от $8,84 млрд в 2024 до $20,24 млрд в 2030, при CAGR ≈ 13,2 %.
2️⃣ По данным Mordor Intelligence, уже в 2025 рынок оценивался в $8,91 млрд, и к 2030 он вырастет до $25,77 млрд (CAGR почти 23,7 %) .

Мы как раз запускаем курс «Профессия DevSecOps-инженер»:
🟧 6 месяцев, 9 модулей, 90% практики, экзамен в стиле OSCP.
🟧 Первый поток — со скидкой 10%: 113 391 ₽.

🟧 Подробнее здесь

Читать полностью…

🎩 Белые хакеры в РФ - В С Ё!

🛡 Минцифры предоставили второй пакет мер по борьбе с кибермошенниками, в котором присутствует наложение запрет на распространение "информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин, либо позволяющая получить доступ к программам для электронных вычислительных машин, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин".

💻 Данная поправка может серьезно повлиять на деятельность "белых хакеров", "багхантеров" и других специалистов, которые пользуются публичными отчетами в своей деятельности и сами распространяют подобную информацию для развития российского ИБ-сообщества. Также на данный момент не понятно, что будет с TI и IR отчетами, которые также предоставляют различные способы кибератаках, которые были ранее замечены.

📋 Минцифры заявляют, что запрет не коснется деятельность "белых хакеров", а затронет лишь распространение информации о способах кибератак.

🉐 Еще этим летом госдума отклонила законопроект о легализации "белых хакеров", в котором не учитывались нормы безопасности КИИ и гостайны, а сегодня запрещает делиться отчетами о кибератаках.

🔺 Что будет дальше?

Читать полностью…

Globbing

Globbing — это техника, при которой вместо точного имени файла используются шаблоны вроде *, ?, []

Допустим, если WAF или фильтр блокирует атаки типа RCE или LFI, попробуйте обойти защиту

/usr/bin/cat /etc/passwd

Будет выглядить как:

/???/???/c?t$IFS/???/p?s?w?d

Это возможно, благодаря возможности Подстановки имени файла в Linux.
Т.е операции, которая распазнаёт эти шаблоны и выполняет расширение пути к файлу.
Проще говоря, Linux понимает что вы хотите от него, это также полезно если вы частично забыли команду.

Читать полностью…

🟧 В цифровом пространстве каждый пользователь сталкивается с разнообразными киберугрозами. Разберем 8 основных типов вредоносного ПО, их особенности и реальные кейсы.

Читать полностью…

🇷🇺 Российские APT-группировки

😡 Ранее мы рассказывали про то, кто такие APT-группировки. Сегодня мы познакомимся с российскими APT-группировки, которые распространенные в России и за пределы страны.

🔺 KillNet - российская группировка хакеров, которая получила известность своими DDoS-атаками на государственные учреждения стран НАТО во время войны России с Украиной. Ранее KillNet занималась продажей услуг DDoS-атак по найму на базе своего ботнета. На сегодняшний момент они также часто фигурируют в российских новостных каналах, помогая раскрывать конфиденциальную информацию недружественных стран.

🔺 Fancy Bear (APT28) - APT-группировка, которую приписывают ГРУ, активна с середины 2000-х. Занимается кибершпионажем, целится на правительственные, военные и СМИ различных стран.

🔺 Cozy Bear (APT29) - группировка, связанная с внешней разведкой РФ (СВР), известна своей долгосрочной деятельностью и скрытностью

🔺 Sandworm (APT44) - группа хакеров, которая связана с российскими государственными интересами, активно атакует Украину и страны Европы, используя ВПО и очистители.

🔺 Erudite Mogwai (Space Pirates) - группировка, которая ведет шпионские атаки на госсектор и технологические организации в России и некоторые сопредельных странах.

📢 Какие еще APT-группировки, которые относятся к России, вы знаете?

Читать полностью…

В предыдущей статье мы познакомились со стандартом контроля доступа к сети - IEEE 802.1X. Эта статья познакомит вас с методами обхода и защиты данного протокола.

Атаки 👨‍💻
1️⃣ Начнем с одного из самых простых метода обхода, а именно подмена MAC-адреса. Атака строится на том, что для устройств, которые не поддерживают протокол 802.1x (принтеры, камеры, IoT), существует более слабый механизм аутентификации (MAC Authentication Bypass), состоящий из простой проверки MAC-адреса устройства. Соответственно, найдя в сети принтер, камеру, телефон и т.д., можно узнать MAC-адрес устройства и назначить его своему компьютеру. Так, в результате аутентификации по протоколу 802.1X компьютеру будет присвоен IP-адрес в сетевом сегменте устройства.

⏺️Для защиты можно использовать профилирование устройств, механизм Port-Security, изолировать устройства, которым разрешен доступ в сеть на основе проверки MAC-адреса в отдельные сегменты с минимальными возможностями по взаимодействию с другими ресурсами.

2️⃣ Атака на EAP-MD5. Суть атаки сводится к перехвату пакетов MD5-Challenge-Request и MD5-Challenge-Response с последующим перебором значения хэша. Для реализации используется сетевой мост между клиентом и аутентификатором.

Сложность заключается в том, что процесс аутентификации клиента должен начаться уже после того, как злоумышленник начинает прослушивание трафика. Можно запустить принудительную аутентификацию, отключив клиента от сети и включив обратно. Более скрытый вариант — инициировать повторную аутентификацию, отправив на аутентификатор от имени клиента пакет EAPoL-start.

⏺️Для предотвращения атаки необходимо использовать более сильные пароли или безопасный метод EAP, например EAP-TLS. В случае с EAP-TLS нужно принудительно запретить установку соединения, если сертификат сервера невалиден.

3️⃣ Rogue Gateway Attack. Аналог атаки Evil Twin, но в локальной сети. Атака возможна, если клиент настроен так, что соединение допускается даже при невалидном сертификате сервера.

Поднимается мост и прослушивается трафик для определения параметров клиента и аутентификатора: MAC-адреса, IP, маршрута по умолчанию, маски подсети. Далее настраивается поддельный RADIUS-сервер и выключается интерфейс, подключенный к настоящему аутентификатору. Отправляется кадр EAPOL-Start с MAC-адресом клиента на поддельный сервер. Сервер отвечает клиенту EAP-Request-Identity. Если клиент примет сертификат, он аутентифицируется на поддельном сервере. Атакующий перехватывает MS-CHAPv2 Challenge/Response, сгенерированные на основе NTLM-хэша пароля и если пароль словарный, то перебором можно получить пароль.

⏺️Рекомендуется использовать стандарт 802.1x AE, который был разработан для решения проблемы с MITM-атаками и включает протокол MACSec для шифрования трафика на L2-уровне.

Читать полностью…

IEEE 802.1X - стандарт контроля доступа к сети. Используется для аутентификации и авторизации устройств при их подключении к локальной сети (проводной или беспроводной).

❓Причина появления
До появления стандарта 802.1X любое устройство, подключившееся к порту коммутатора или точке Wi-Fi, автоматически получало доступ в сеть. Это позволяло злоумышленнику подключиться физически (через Ethernet-розетку) или по Wi-Fi и получить доступ к ресурсам внутренней сети без аутентификации.
Кроме того, стандарт является универсальным в области аутентификации и поддерживает интеграцию с уже существующими системами аутентификации.

🛜Участники аутентификации
🔺Supplicant (Клиент) — устройство, запрашивающее доступ к сети (ПК, ноутбук, IP-телефон и т.д.).
🔺Authenticator (Аутентификатор) — сетевое устройство, которое обеспечивает связь клиента с сервером аутентификации по протоколу 802.1х и, в случае успешной авторизации ― доступ к сети (обычно коммутатор или точка доступа).
🔺Authentication Server (Сервер аутентификации) — сервер, который проверяет учетные данные (обычно RADIUS-сервер, например FreeRADIUS).

Механизм аутентификации
1️⃣ Инициализация. Клиент подключается к порту аутентификатора. Тот фиксирует новое соединение и переводит логический порт в состояние uncontrolled. В этом режиме через порт разрешается только служебный обмен по протоколу 802.1X, а весь остальной трафик блокируется.

2️⃣ Инициация. Аутентификатор ждёт сигнала на начало процедуры (EAPOL-Start) от клиента. После получения он отправляет клиенту запрос EAP-Request/Identity. Клиент отвечает EAP-Response с идентификатором (например, логином). Это сообщение аутентификатор инкапсулирует в RADIUS Access-Request и пересылает серверу аутентификации.

3️⃣ Обмен EAP-сообщениями. Сервер аутентификации и клиент согласовывают, какой именно метод EAP будет использован для проверки подлинности.

4️⃣ Аутентификация. Процесс проверки зависит от выбранного EAP-метода. В результате сервер либо одобряет подключение, либо отклоняет его. Результат передаётся аутентификатору. При успешной проверке порт клиента переводится в состояние controlled, и далее через него разрешается обычная передача данных.

Стоит остановить внимание на протокол EAP, который является каркасом аутентификации в 802.1X и используется для выбора метода аутентификации. Существует несколько разновидностей данного протокола, рассмотрим лишь некоторые из них.

🔺EAP-MD5 - считается небезопасным, так как можно перехватить MD5-Challenge-Response и подобрать пароль пользователя.
🔺EAP-PEAP - отсутствует проверка подлинности сертификата клиента. В случае если в настройках не установлена проверка сертификата, соединение установится без него.
🔺EAP-TLS - двусторонняя проверка сертификата, сложнее в реализации, но все равно сохраняется проблема из пункта выше.

‼️В следующей статье поговорим о возможных методах обхода стандарта 802.1X и способах защиты.

Читать полностью…

📄 Вредоносные PDF-редактор похищают учетные данные пользователей

💻 Вредоносное ПО TamperedChef, замаскированное под поддельные PDF-редакторы, похищает учетные данные и файлы Cookie.

ℹ️ В основе кампании лежит использование нескольких фальшивых сайтов для продвижения установщика бесплатного PDF-редактора AppSuite PDF Editor, который после установки и запуска выводит на экран пользователю предложение согласиться с условиями обслуживания и политикой конфиденциальности программного обеспечения.

🪟 Однако в фоновом режиме программа установки скрытно запрашивает у внешнего сервера удаление PDF-редактора, одновременно настраивая сохранение на хосте, внося изменения в реестр Windows, чтобы обеспечить автоматический запуск загруженного исполняемого файла после перезагрузки. Ключ реестра содержит параметр --cm arguments для передачи инструкций исполняемому файлу

💻 Чаще всего злоумышленники используют инструмент AppSuite PDF Editor, И, как утверждает компания G FATA, является бэкдором, который активно скачивают пользователи.

Читать полностью…

NanoDump - "швейцарский нож" для извлечения памяти процесса LSASS.

📕 Немного теории
🔺LSASS (Local Security Authority Subsystem Service) — системный сервис в Windows, который отвечает за проверку пользователей при входе, хранение и выдачу токенов, управление политиками безопасности и т. п.

Соответственно, в случае создания дампа LSASS, злоумышленники получают хэши паролей пользователей или даже пароли в открытом виде, токены и сессионные ключи, которые можно использовать для перехвата сессий;

🔺Дескриптор — ссылка или ключ, который операционная система даёт процессу, чтобы тот мог работать с каким-то объектом: файлом, сокетом, процессом, памятью. Дескриптор к процессу позволяет читать/писать его память, запускать действия от его имени.

Злоумышленники часто пытаются получить или скопировать дескриптор, который имеет нужные привилегии к LSASS, чтобы затем получить доступ к его памяти — без того чтобы напрямую запрашивать у системы высокие права.

Функции инструмента
1️⃣Разветвление процесса
Чтобы избежать открытия дескриптора LSASS с доступом PROCESS_VM_READ, можно использовать параметр --fork. В таком случае nanodump создаст дескриптор LSASS с доступом PROCESS_CREATE_PROCESS, а затем клонирует процесс. Далее у нового процесса будет снят дамп.

2️⃣Снимок процесса
Аналогично опции --fork, можно использовать --snapshot для создания снимка процесса LSASS с дескриптором доступа PROCESS_CREATE_PROCESS, затем будет создан снимок процесса с помощью PssNtCaptureSnapshot. Снимок будет автоматически освобождён после завершения.

3️⃣Дублирование дескриптора
Поскольку открытие дескриптора LSASS может быть обнаружено, nanodump может вместо этого искать существующие дескрипторы LSASS. Если такой дескриптор найден, он будет скопирован и использован для создания минидампа.

4️⃣Повышение привилегий дескриптора
Можно получить дескриптор LSASS с правами PROCESS_QUERY_LIMITED_INFORMATION, которые, скорее всего, будут в белом списке, и затем повысить привилегии этого дескриптора путём его дублирования.

5️⃣Дублирование дескриптора через Seclogon
Можно обмануть процесс seclogon, заставив его открыть дескриптор LSASS и дублировать его до закрытия с помощью блокировок файлов. Для доступа к этой функциональности используйте флаг --seclogon-duplicate.

Выше перечислены лишь некоторые функции утилиты, более подробно с остальными возможностями можно ознакомиться здесь.

🔺Примеры использования

nanodump --fork --write C:\lsass.dmp

nanodump --seclogon-leak-remote C:\Windows\notepad.exe --fork --valid

nanodump --seclogon-leak-local --fork --valid --write C:\Windows\Temp\lsass.dmp

Читать полностью…

Инструменты безопасной разработки позволяют находить и устранять уязвимости на всех стадиях жизненного цикла приложения — от написания кода до его работы в продакшне ⬆️

Хотите не просто знать эти методики, а профессионально внедрять их на практике?

🟧10 ноября стартует новый курс от Академии Кодебай, созданный специалистами с опытом внедрения DevSecOps в крупнейших ИТ-компаниях.

После обучения вы сможете:
🟧Внедрять безопасные пайплайны
🟧Обеспечивать защиту контейнеров и Kubernetes
🟧Применять современные подходы, такие как Zero Trust.

Успейте записаться на первый поток со скидкой 10%
🟧 Узнать подробнее о курсе
🟧 @CodebyManagerBot

Читать полностью…

Трансляция(Broadcast), одноадресная передача(unicast), многоадресная передача(multicast), anycast — в чем разница?

Читать полностью…

🇨🇳 Китайская группировка атакует сетевые устройства

🐲 Китайская APT-группировка Salt Typhon использует уязвимости в сетевых устройствах и взломал 600 организаций по всему миру.

🌎 Данная группировка продолжает свои атаки, нацеленные на сети по всему миру, включая организации в сфере телекоммуникаций, государственного управления, транспорта, гостиничного бизнеса и военной инфраструктуры.

🏢 В бюллетене , предоставленном властями 13 стран, говорится, что вредоносная деятельность связана с тремя китайскими организациями: Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. и Sichuan Zhixin Ruijie Network Technology Co., Ltd.

👩‍💻 Salt Typhoon был замечен при получении начального доступа путем эксплуатации уязвимых сетевых периферийных устройств от Cisco ( CVE-2018-0171 , CVE-2023-20198 и CVE-2023-20273 ), Ivanti ( CVE-2023-46805 и CVE-2024-21887 ) и Palo Alto Networks ( CVE-2024-3400 ).

Читать полностью…

VHostScan: Целевой поиск виртуальных хостов для профессионалов безопасности

В процессе разведки (Reconnaissance) критически важно обнаружить всю поверхность атаки. Часто на одном IP-адресе размещены десятки веб-приложений, использующих технологию виртуальных хостов (VHosts). Многие из них не числятся в DNS и остаются «скрытыми» — это могут быть тестовые, промежуточные (staging) среды или административные панели, которые зачастую более уязвимы.

Виртуальный хостинг — это метод, позволяющий запускать несколько веб-сайтов (например, site1.com и site2.com) на одном физическом сервере и одном IP-адресе. Веб-сервер (например, Apache или Nginx) определяет, какой именно сайт запрашивает пользователь, анализируя заголовок Host: в HTTP-запросе.

🟧 Стандартные сканеры, работающие только с DNS, такие хосты пропускают. VHostScan — это не просто сканер, а высокоспециализированный инструмент, использующий три различных метода для точного и массового обнаружения виртуальных хостов:
🟧Перебор по словарю - инструмент использует заданный список поддоменов (например, dev, api, test), отправляя запрос для каждого имени HTTP-запрос с соответствующим заголовком Host.
🟧Анализ ответов (Фингерпринтинг) - это основное преимущество утилиты. VHostScan не ограничивается анализом кода ответа. Он сравнивает ответы сервера на валидные и невалидные запросы, анализируя: размер страницы, заголовки ответа, код состояния, хеш содержимого.

Такой подход позволяет reliably обнаруживать хосты, возвращающие кастомные страницы ошибок или перенаправления.

🟧Поддержка современных технологий - инструмент полноценно работает с HTTPS через механизм SNI (Server Name Indication), что обеспечивает корректное сканирование защищённых сайтов. Кроме того, он поддерживает массовую обработку targets и легко интегрируется в автоматизированные пайплайны разведки с такими инструментами, как amass и subfinder.

🟧 Установка и использование

git clone https://github.com/codingo/VHostScan

cd VHostScan

pip3 install -r requirements.txt

🟧 Проверка

VHostScan -h

🟧 Примеры использования
- Простое сканирование (использование базового списка слов)

python3 vhostscan.py -t example.com -w wordlist.txt

- Целевое сканирование с фингерпринтингом. Сначала инструменту нужно узнать, как сервер отвечает на невалидные запросы (создается «отпечаток»), а затем искать аномалии.

python3 vhostscan.py -t example.com -w wordlist.txt --fingerprints

- Массовое сканирование списка целей

python3 vhostscan.py -T targets.txt -w wordlist.txt -o results.json --json-output

Читать полностью…

Представители регуляторов отраслей ИТ и и ИБ — в одном зале. И вы тоже можете быть там, чтобы задать им вопросы напрямую.

18 сентября в Москве состоится ИБ-конференция BIS Summit 2025: фокус на реальную информационную безопасность и регулирование импортозамещения в условиях многообразия ИТ-решений.

Что будет обсуждаться:
▪️Как выполнить Указы №166 и №250 и сохранить бизнес-гибкость
▪️Какие ИТ-решения создают новые подходы в ИБ
▪️ИИ в ИБ, облачные технологии и ИБ-ассоциации в 2025

Офлайн + онлайн

8 часов докладов, демо-зона, нетворкинг с топами и ведущими экспертами отрасли

Программа и регистрация

18 сентября
Москва, Хаятт Ридженси Москва Петровский Парк

Читать полностью…

Очередной громкий взлом в мире децентрализованных финансов всколыхнул криптосообщество. На этот раз под удар хакеров попал Nemo Protocol, а сумма ущерба оценивается в $2,4 миллиона. Это происшествие вновь заставляет задуматься о безопасности DeFi-платформ, особенно тех, что построены на молодом блокчейне Sui.

💛Хронология инцидента
Ирония ситуации в том, что всего за день до инцидента, в воскресенье, команда Nemo успокаивала пользователей, сообщая о плановом техническом обслуживании на 8-9 сентября и заверяя, что все активы «остаются в полной безопасности». Однако уже в понедельнике ведущие компании по аудиту безопасности, PeckShield и CertiK, подняли тревогу, обнаружив подозрительную активность и масштабный отток средств из протокола. Команда Nemo была вынуждена подтвердить факт «инцидента с безопасностью», затронувшего рыночный пул.

💛Что известно о взломе?
- Официально Nemo цифры не назвала, но эксперты из CertiK и PeckShield единодушно оценивают потерю в ~$2,4 млн в различных токенах.
- По предварительным данным CertiK, атака, вероятно, была направлена на манипулирование ценами в кредитном протоколе Nemo. Это сложный вид атаки, при котором хакер искусственно меняет стоимость актива, чтобы обналичить средства пула.
- Все операции со смарт-контрактами были немедленно приостановлены. Команда заявила, что активы в основном хранилище не пострадали, и пообещала предоставить подробный отчет по итогам расследования.

💛Sui под прицелом
Это не первый инцидент на блокчейне Sui. Всего несколько месяцев назад, в мае 2025 года, другой протокол на Sui, Cetus (CETU), был взломан на колоссальные $223 млн. Тот случай вызвал жаркие споры о децентрализации, когда выяснилось, что сеть Sui технически может заморозить средства «по требованию», что противоречит одному из ключевых принципов DeFi.

Повторная крупная атака на протокол в той же экосистеме задает тревожный тренд и бросает тень на безопасность nascent-блокчейнов.

💛Пока команда Nemo разбирается с последствиями взлома, другая DeFi-платформа, Venus Protocol, показала пример эффективного реагирования. Им удалось вернуть $11,4 млн пользователю, ставшему жертвой фишинговой атаки 2 сентября.
Как выяснилось, злоумышленники через вредоносную версию Zoom получили доступ к компьютеру жертвы и смогли обманным путем заставить ее подписать транзакцию, которая назначила хакера делегатом ее счета. Это позволило преступнику брать займы и выводить средства от ее имени. Однако команда Venus среагировала молниеносно и вернула активы в течение 13 часов.

Читать полностью…

Hayabusa: Утилита для быстрого анализа журналов событий Windows

Hayabusa — это инструмент для быстрого анализа журналов событий Windows, ориентированный на создание временных шкал. Данная утилита использует правила Sigma для обнаружения атак и предоставляет удобные средства для анализа данных.

⚡️ Быстрый старт с Hayabusa

1️⃣ Установка утилиты
Скачайте последнюю версию Hayabusa с официальной страницы релизов на GitHub:

https://github.com/Yamato-Security/hayabusa/releases

2️⃣ Запуск утилиты
После загрузки и распаковки архива выполните команду для запуска утилиты:

hayabusa.exe

3️⃣ Основные команды
⏺️ csv-timeline: Создает временную шкалу событий в формате CSV.

hayabusa.exe csv-timeline -f eventlog.evtx

⏺️ json-timeline: Создает временную шкалу событий в формате JSON или JSONL.

hayabusa.exe json-timeline -f eventlog.evtx

⏺️ logon-summary: Выводит сводку по событиям входа в систему.

hayabusa.exe logon-summary -f eventlog.evtx

⏺️ search: Выполняет поиск по ключевым словам или регулярным выражениям в событиях.

hayabusa.exe search -f eventlog.evtx -k "mimikatz"

4️⃣ Пример запуска анализа
Для создания временной шкалы событий из файла eventlog.evtx в формате CSV выполните команду:

hayabusa.exe csv-timeline -f eventlog.evtx -o timeline.csv

🔍 Возможности анализа
• Фильтрация по времени: Укажите диапазон дат для анализа.

hayabusa.exe csv-timeline -f eventlog.evtx --timeline-start "2025-01-01 00:00:00" --timeline-end "2025-01-31 23:59:59"

• Использование профилей: Выберите профиль для настройки уровня детализации.

hayabusa.exe csv-timeline -f eventlog.evtx -p verbose

• Включение фильтра по Event ID: Ускоряет анализ, но может пропустить некоторые предупреждения.

hayabusa.exe csv-timeline -f eventlog.evtx -E

• Запуск только встроенных правил: Используйте встроенные правила для анализа.

hayabusa.exe csv-timeline -f eventlog.evtx -r rules/builtin

Читать полностью…

Запускаем новый курс — DevSecOps на практике

⚙️ Знаете, в чём главная фишка DevSecOps?
Безопасность перестаёт быть «тормозом» для разработки. Вместо бесконечных проверок «после релиза» — всё встроено в пайплайн. Код проходит SAST, контейнер — сканируется, инфраструктура — проверяется на compliance. В итоге релизы выходят быстрее, а не медленнее.

Именно об этом наш новый курс:
🟡9 модулей, 48 занятий, 90% практики;
🟡инструменты: Docker, Kubernetes, Terraform, Vault, Ansible, Prometheus;
🟡финальный экзамен в стиле OSCP — только реальные задачи;
🟡опыт авторов: внедрение Zero Trust, построение SOC, DevSec-инструменты для Burp Suite.

❓ Узнать подробнее о курсе

🗓 Старт первого потока — 10 ноября 2025 со скидкой 10%: 125 990 ₽ 113 391 ₽

По данным Gartner, за последние 3 года запрос на специалистов DevSecOps вырос в разы. Компании осознали: «сначала сделать, потом чинить» — слишком дорого. Поэтому инженеры, которые умеют внедрять безопасность в CI/CD, сегодня — одна из самых востребованных профессий в ИБ и DevOps.

⬇️ Записаться со скидкой
🥇 @CodebyManagerBot

Читать полностью…

‼️ Исследователи из компании ESET обнаружили первую программу вымогатель PromptLock, написанную на базе искусственного интеллекта. Программа использует скрипты на языке Lua для кражи и шифрования данных в системах Windows, macOS и Linux. Кроме того, вымогатель использует свободно доступную языковую модель, доступ к которой осуществляется через API. Это означает, что сгенерированные вредоносные скрипты передаются непосредственно на заражённое устройство.

🔺 Принцип работы
🔺PromptLock написан на Golang и использует API Ollama для доступа к большой языковой модели gpt-oss:20b. Сама модель размещена на удалённом сервере, доступ к которому злоумышленник получет через прокси туннель.
Вредоносная программа использует жестко запрограммированные промпты, заставляющие модель динамически генерировать вредоносные скрипты на языке Lua для следующих целей:
🔺 перечисление файлов в локальной файловой системе;
🔺 проверка целевых файлов;
🔺 кража данных;
🔺 шифрование файлов с использованием нетипичного для программ вымогателей алгоритма SPECK;
🔺 уничтожение данных (в текущих версиях не реализована).

🔺Специалисты ESET сообщили, что данное ВПО не было обнаружено в реальных атаках и скорее является прототипом и экспериментальной программой. Некоторые признаки, указывающие на это:
🔺 использование слабого алгоритма шифрования;
🔺 жестко запрограммированный биткоин адрес;
🔺 нереализованная функция уничтожения данных.

🔺Таким образом, появление PromptLock свидетельствует о том, что искусственный интеллект может быть использован в качестве оружия в вредоносных программах, предлагая кроссплатформенные возможности, гибкость, новые способы уклонения от антивирусных программ и снижая порог вхождения для злоумышленников.

Читать полностью…