📱 Новый Android-троян «Herodotus» обходит системы защиты от мошенничества, печатая как человек.

🏦 Исследователи по кибербезопасности раскрыли подробности о новом банковском трояне для Android под названием Herodotus , который был замечен в активных кампаниях, нацеленных на Италию и Бразилию, с целью проведения атак по захвату устройств (DTO).

📱 «Herodotus предназначен для осуществления захвата устройства, одновременно предпринимая первые попытки имитировать поведение человека и обходить поведенческую биометрию», — говорится в отчете ThreatFabric.

😡 Новое вредоносное ПО выделяется своей способностью «очеловечивать» мошенничество и обходить системы обнаружения, основанные на временных факторах. В частности, это включает в себя возможность вносить случайные задержки при выполнении удалённых действий, таких как ввод текста на устройстве. По словам ThreatFabric, это попытка злоумышленников создать видимость того, что данные вводит реальный пользователь.

⚠️ Будьте осторожны!

Читать полностью…

Хакеры превратили YouTube в фабрику вредоносного ПО. Более 3000 поддельных «уроков» скрывают мошенников, таких как Lumma и Rhadamanthys.

Была замечена вредоносная сеть аккаунтов YouTube, публикующая и продвигающая видеоролики, ведущие к загрузке вредоносного ПО, что по сути злоупотребляет популярностью и доверием, связанными с платформой видеохостинга, для распространения вредоносных полезных данных.

Действуя с 2021 года, эта сеть опубликовала более 3000 вредоносных видеороликов, а с начала года их количество утроилось. Компания Check Point дала ей кодовое название YouTube Ghost Network. С тех пор Google вмешалась и удалила большую часть этих видеороликов.

Кампания использует взломанные аккаунты и заменяет их контент «вредоносными» видеороликами, посвященными пиратскому программному обеспечению и читам для игр Roblox, чтобы заразить ничего не подозревающих пользователей, которые ищут их, вредоносным ПО для кражи данных. Некоторые из этих видеороликов набрали сотни тысяч просмотров, от 147 000 до 293 000.

Читать полностью…

💻Пользовательский контроль над формами и скрытыми элементами на сайте

Вот набор полезных букмарклетов для тестирования интерфейсов, обхода визуальных блокировок и поиска багов на веб-страницах.

1️⃣Включить все disabled и readonly поля:

javascript:(function(){document.querySelectorAll('[disabled],[readonly]').forEach(el=>{el.removeAttribute('disabled');el.removeAttribute('readonly');});})()

2️⃣Показать скрытые элементы (display: none):

javascript:(function(){document.querySelectorAll('[style*="display: none"]').forEach(el=>{el.style.display='block';});})()

3️⃣Вернуть кликабельность (pointer-events: none):

javascript:(function(){document.querySelectorAll('[style*="pointer-events: none"]').forEach(el=>{el.style.pointerEvents='auto';el.style.opacity='1';});})()

4️⃣Универсальный букмарклет (сочитает в себе предыдущие):

javascript:eval(atob("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"))

Добавьте любой из них в ваши закладки и активируйте на любой странице.

Читать полностью…

Курс по реагированию на киберинциденты — завтра последний день по старой цене! Следующий поток через 2 месяца!

РКИ — это не теория. Это практический курс, после которого вы будете:
🟧 собирать дампы с Windows/Linux,
🟧 анализировать логи и вредоносное ПО,
🟧 работать с SIEM и проводить Threat Hunting,
🟧 грамотно реагировать на атаки и искать следы проникновения.

🟧 До 1 декабря 🟧 85 990 ₽ 77 990 ₽ 🟧 Сертификат

🟧🟧🟧🟧 Подписка на hackerlab.pro — 40+ заданий по форензике и реагированию!

Если хотите попасть на поток по старой цене — успейте до конца дня.
🟧 Начать обучение сегодня

🚀 @CodebyManagerBot

Читать полностью…

⚡Ребусы, которые заставят ваш мозг работать в режиме Security! Готовы принять вызов?

P.S. Тема - DevSecOps

Пишите свои идеи в комментариях🔽

Читать полностью…

Контроль за работой «белых» хакеров предложили передать ФСБ, ФСТЭК и НКЦКИ. По данным РБК разработана новая версия законопроекта о легализации «белых» хакеров, готовящаяся для внесения в Госдуму.

❗️Инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей.

Согласно проекту, под это определение могут попасть:
🟧коммерческие bug bounty;
🟧внутренние bug bounty (self-hosted);
🟧любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют программное обеспечение на уязвимости;
🟧пентесты (тестирование на проникновение), которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании-клиента и компании, предоставляющей услуги исследователей.

Регуляторы могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей.
К ним относятся:
🟧обязательная идентификация и верификация «белых» хакеров;
🟧правила аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей;
🟧правила, регулирующие обработку и защиту данных о найденных уязвимостях;
🟧регламент, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др.

🟧Списки операторов, которые соответствуют этим требованиям, будут публиковаться на сайтах силовых ведомств, а работа вне аккредитованных площадок, а также работа не соответствующих правилам компаний будет запрещена. Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам.

🟧Кроме того, обсуждалось создание реестра «белых» хакеров для «легализации» их деятельности.

Читать полностью…

🔥 HackerLab — генеральный партнёр Kuban CSC 2025!

Мы с гордостью объявляем, что HackerLab выступает генеральным партнёром конференции Kuban Cyber Security Conference 2025 — одного из ключевых событий в мире информационной безопасности.

В этом году именно наша команда организует главное CTF-соревнование конференции, которое станет центральной практической площадкой Kuban CSC.

🚩 Более 15 сильнейших команд из разных регионов России уже соревнуются, решая реальные кейсы — от веб-уязвимостей и криптографии до форензики и реверс-инжиниринга.

«Для нас, компании HackerLab, большая честь второй год подряд проводить для конференции практические соревнования в формате CTF.
Вместе с партнёрами, спикерами и участниками мы делаем цифровую среду надёжнее»,

— отметил генеральный директор Алексей Попов в своём приветственном выступлении на открытии конференции.

Формат CTF — это не просто соревнование. Это способ обучения, где участники развивают мышление исследователя, тренируют навыки реагирования на инциденты и учатся защищать инфраструктуру в условиях, приближённых к боевым.

#HackerLab #KubanCSC2025 #CTF

Читать полностью…

❗️Сообщается о потенциальном инциденте с данными на украинской правительственной платформе Brave1, которая служила для объединения инновационных компаний с идеями и разработками, которые могут быть использованы в обороне страны.

⏺По данным хакерской группировки Killnet, им удалось получить доступ к внутренним сетям, скомпрометировав учетные записи "Господина из Министерства цифровой трансформации Украины". В результате был получен доступ к реестрам производителей и покупателей, а также информации о поставках в Министерство обороны и другие силовые ведомства.

⏺Как утверждает группировка, через платформу Brave1 и Украинский фонд стартапов (USF) они также получили информацию о более чем 1500 производителей по всей Украине. Кроме того, была получена техническая документация на изделия в сфере БПЛА и РЭБ.

Читать полностью…

🟧APIDetector

Мощный и эффективный инструмент, предназначенный для тестирования открытых Swagger-эндпоинтов на разных поддоменах. Обладает интеллектуальными механизмами для обнаружения ложноположительных результатов. Особенно полезен для специалистов по безопасности и разработчиков, занимающихся тестированием API и поиском уязвимостей.

Основные характеристики
🟧поддерживает как одиночные домены, так и списки поддоменов.
🟧проверяет эндпоинты по HTTP и HTTPS.
🟧многопоточное сканирование для получения более быстрых результатов.
🟧продвинутая система выявления ложноположительных результатов.
🟧возможность конфигурации количества потоков, user-agent и других опций.

🟧Установка

git clone https://github.com/brinhosa/apidetector.git
cd apidetector
python3 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
playwright install

🟧Примеры использования
APIDetector предлагает два способа взаимодействия с инструментом: через веб-интерфейс и традиционный интерфейс командной строки.

🟧Веб -интерфейс

python app.py [options]
#or
python app.py -p 8080
#or
python app.py --host 0.0.0.0

Доступные параметры: -p - номер порта, --host - адрес хоста

В веб-интерфейс можно попасть через браузер по указанному URL. Далее необходимо ввести целевой домен, настроить параметры сканирования и начать сканирование.

Обнаруженные эндпоинты API отображаются в режиме реального времени с отслеживанием прогресса. Уязвимые эндпоинты проверяются автоматически.

🟧Интерфейс командной строки
Сканирование списка поддоменов с помощью 30 потоков и пользовательского агента Chrome с сохранением результатов в файл

python apidetector.py -i list_of_company_subdomains.txt -o results_file.txt -t 30 -ua "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36"

Cканирование по протоколам HTTP и HTTPS

python apidetector.py -m -d example.com

🟧Опции
-d, --domain — Один домен для тестирования.
-i, --input — Файл ввода со списком поддоменов для проверки.
-o, --output — Файл вывода для записи валидных URL.
-t, --threads — Количество потоков для сканирования (по умолчанию 10).
-m, --mixed-mode — Тестировать оба протокола: HTTP и HTTPS.
-q, --quiet — Отключить подробный вывод (по умолчанию режим подробного вывода).
-ua, --user-agent — Пользовательская строка User-Agent для HTTP-запросов.

Читать полностью…

🤖Promptfoo - инструмент с открытым исходным кодом для оценки и тестирования приложений LLM.

Функционал
🔺Автоматическая оценка промптов и моделей
🔺 Сканирование уязвимостей
🔺Сравнение моделей
🔺 Интеграция с CI/CD

Работа в двух режимах:
1️⃣Оценка - осуществляет проверку качества и точности промптов, моделей и приложений, создавая матричные представления, которые позволяют быстро оценивать результаты по многим запросам.

➡️Инициализация собственной конфигурации promptfoo init

➡️Для настройки оценки необходимо настроить промпты: в файле promptfooconfig.yaml добавить подсказки, которые необходимо протестировать. Двойные фигурные скобки используется для обозначения переменных: {{variable_name}}.

prompts:
- 'Convert this English to {{language}}: {{input}}'
- 'Translate to {{language}}: {{input}}'

➡️Далее необходимо добавить providers, чтобы указать модели ИИ, которые необходимо протестировать. Promptfoo поддерживает более 50 провайдеров, включая OpenAI, Anthropic, Google и многих других:


➡️Добавьте несколько примеров тестовых входных данных для ваших запросов.


➡️Запуск оценки promptfoo eval и просмотр результатов promptfoo view.

2️⃣Red teaming - проверка на наличие уязвимостей в системах искусственного интеллекта до их внедрения с помощью моделирования вредоносных входных данных.
➡️Инициализация npm install -g promptfoo и запуск promptfoo redteam setup. Команда setup откроет веб-интерфейс с вопросами для настройки конфигурации.

➡️Для начала необходимо предоставить подробную информацию о целевом приложении. Как минимум, обязательно заполнить поле Purpose описанием приложения.

➡️ Затем необходимо выбрать цель сканирования и плагины (состязательные генераторы, создающие вредоносные входные данные, которые отправляются в целевое приложение).

➡️Далее выбирается стратегия - методы, которые позволяют использовать сгенерированные входные данные для конкретной атаки. После этого необходимо сохранить получившиеся параметры в файл promptfooconfig.yaml.

➡️Финальным шагом будет запуск сканирования promptfoo redteam run и просмотр результатов promptfoo redteam report.

Читать полностью…

Хотите работать там, где от решений зависят миллионы?

Мошенничество — это сложные схемы, продуманные алгоритмы, десятки подставных транзакций и тысячи строк логов.
Антифрод-аналитики ловят мошенников до того, как те доберутся до денег.

Кто такой антифрод-аналитик?
Это специалист, который анализирует финансовые операции, выявляет подозрительные паттерны и выстраивает защиту бизнеса от потерь.

Где нужны такие специалисты?
🟧в банках и финтех-компаниях
🟧на e-commerce-платформах
🟧в страховых и онлайн-сервисах.

Средняя зарплата по рынку — от 130 000 ₽, и спрос растёт ежегодно.
Рынку не хватает специалистов, умеющих работать с реальными данными и антифрод-системами.

Ждем вас на первом потоке курса «Антифрод-аналитик»!
➡️ ПОДРОБНЕЕ

Онлайн-программа, созданная экспертами из индустрии.
За 4 месяца вы пройдёте путь от нуля до Junior-специалиста.

Что освоим на практике:
🟧 Аntifraud-анализ и работу с транзакционными данными
🟧 Поиск аномалий и моделирование рисков
🟧 Python, SQL, Tableau и Excel
🟧 Анализ логов и событий безопасности
🟧 Построение антифрод-систем с нуля

Первый поток — выгода до 18%! А также живые вебинары с авторами, реальные кейсы банков и e-commerce.

Старт курса — 24 ноября.

⚡️ Первый поток со скидкой до 18 %: ЗАПИСАТЬСЯ
⚡️ @CodebyManagerBot

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🌍 Категория Веб — Эхо прошлого
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠OSINT - All star
🟠Веб - Состояние 0x7F

Приятного хакинга!

Читать полностью…

🚕 Пранкер устроил DDoS атаку на улицах Сан-Франциско, заказав 50 беспилотных такси

В Сан-Франциско группа людей одновременно забронировали 50 автомобилей с беспилотным управлением компании Waymo, в результате чего около 50 беспилотников оказались выстроены в «пробку» и временно заблокировали движение

— инцидент, который автор акции назвал «перво­й в мире DDoS-атакой на Waymo». Данный план был опубликован в аккаунте X 12 октября пользователем Райли Уолзом (Riley Walz).

💬 По словам организатора, несколько десятков человек одновременно заказали автомобили и направили их в длинный тупик в центре города — машины Jaguar I-Pace, используемые Waymo, выстроились в очередь и временно не могли продолжить движение. Уолз назвал это «DDoS-атакой», имея в виду массовые одновременные запросы, которые кратковременно перегрузили локальную сеть сервиса.

👀 Waymo оперативно отреагировала — по словам Уолза, такси «уехали примерно через 10 минут», а пользователям выписали по $5 штрафа за неявку. Компания позже заявила, что совершенствует системы, чтобы предотвращать подобные сценарии в будущем. Организатор также отметил, что акция была продумана так, чтобы не помешать другим людям, и что мероприятие можно рассматривать как проверку устойчивости сервиса.

🤓 Райли Уолз ранее уже привлекал внимание своими техническими экспериментами: в сентябре он запускал сервис, который собирал общедоступные данные о штрафах за парковку в Сан-Франциско и выводил их в удобной форме; город быстро отреагировал и закрыл доступ к данным. Организатор подчеркивает, что подобные акции выявляют слабые места систем и стимулируют компании улучшать защиту и устойчивость.

Юридические и этические вопросы остаются открытыми: массовые координированные бронь-кампании могут создавать реальную опасность для дорожного движения и мешать работе служб, даже если их организаторы преследуют «экспериментальные» цели. А что вы думаете по этом поводу?

Читать полностью…

🔺Impersonate - инструмент, позволяющий манипулировать токенами в ОС Windows и скомпрометировать учётные записи, в том числе администраторов домена, без прямого взаимодействия с процессом LSASS.

💻 Установить инструмент можно, загрузив файлы из репозитория и с помощью дальнейшей компиляции.

В Windows существуют два типа токенов доступа, которые зависят от способа входа в систему:
🔺Первичный токен создаётся при интерактивном входе (например, через WinLogon или RDP) и связывается с процессом пользователя. Учётные данные при этом сохраняются в памяти процесса LSASS, что позволяет использовать механизм единого входа.

🔺Токен олицетворения создаётся при неинтерактивном (удалённом) входе, например, при подключении к SMB. Он связан с потоком и позволяет работать с привилегиями выделенного пользователя, а не от имени SYSTEM.

🔺Использование
Поддерживается возможность работы как в графическом интерфейсе (например, RDP), так и удалённо (через WMIExec, PsExec, WinRM).

Состоит из следующих модулей:
1️⃣list — позволяет просматривать список токенов, находящихся в системе

Impersonate.exe list

2️⃣adduser — модуль позволяет повысить привилегии в домене Active Directory с помощью функции ImpersonateLoggedOnUser. Для работы этого модуля потребуется права NT AUTHORITY\System и первичный токен, связанный с учетной записью администратора домена в системе. Модуль создаст нового пользователя в домене, установит для него пароль и добавит его в группу администраторов домена.

Impersonate.exe adduser <token id> <username> <password> <domain admin group> <remote DC server>

3️⃣exec — позволяет запускать пользовательские команды на сервере.

Impersonate.exe exec <token id> <cmd>

Читать полностью…

adidnsdump — Утилита для сбора и анализа DNS-записей Active Directory

adidnsdump — это лёгкий инструмент для извлечения и экспорта DNS-записей, хранящихся в Active Directory (AD). Проект помогает быстро собрать картину DNS-записей домена, понять распределение хостов и сервисов, найти устаревшие/подозрительные записи и подготовить материалы для дальнейшей разведки или эксплуатации.

Основные возможности adidnsdump
➡️ Сбор DNS-записей из Active Directory через AD-интерфейсы (LDAP/AD-specific queries).
➡️ Экспорт результатов в удобные форматы (JSON / CSV) для дальнейшего анализа и интеграции в другие инструменты.
➡️ Фильтрация и выборка по зонам, типам записей (A, CNAME, SRV и др.) и времени обновления — помогает выявлять устаревшие или неизвестные хосты.
➡️ Упрощённая автоматизация — можно включать в пайплайны разведки и отчётности.
➡️ Лёгкая интеграция с другими инструментами для последующих шагов (сканирование найденных хостов, атаки на сервисы и т.д.).

⬇️ Установка и запуск
Клонируйте репозиторий и установите зависимости:

git clone https://github.com/dirkjanm/adidnsdump.git
cd adidnsdump
pip install .

Пример простого запуска

python3 adidnsdump.py <domain-controller> --output dns_dump.json

В зависимости от окружения можно указывать параметры аутентификации или использовать Kerberos/SSPI (см. справку скрипта для доступных флагов):

python3 adidnsdump.py -h

⭐ Преимущества adidnsdump
➖ Быстрый и структурированный экспорт DNS-информации из AD — экономит время на reconnaissance.
➖ Помогает обнаруживать “тихие” цели: старые записи, CNAME с внутренними сервисами, SRV-записи с важными ролями.
➖ Удобный формат вывода (JSON/CSV) делает результаты пригодными для автоматической обработки и отчётности.
➖ Малый вес и простота запуска — не требует сложной настройки, легко включается в сценарии пентеста.

Читать полностью…

Brainstorm — инструмент для фазинга директорий с интеграцией локальных LLM

Brainstorm — это лёгкий CLI‑инструмент от Invicti Security для оптимизации поиска скрытых директорий, файлов и эндпоинтов в веб‑приложениях. В отличие от классических инструментов для фазинга, Brainstorm комбинирует традиционный ffuf‑фазинг с генерацией гипотез о путях при помощи локальных крупных языковых моделей (через Ollama). Это превращает фазинг в итеративный «мозговой штурм»: модель предлагает умные догадки → ffuf проверяет → результаты используются для следующего круга генерации.

⚡️ Ключевые возможности
⏺️ Комбинация LLM (локально через Ollama) + ffuf для более целевых и релевантных словарей путей.
⏺️ Итеративный процесс: извлечение ссылок → генерация путей моделью → фазинг → обучение на результатах → повтор.
⏺️ Две утилиты: fuzzer.py (общий поиск путей) и fuzzer_shortname.py (специализирован для коротких имён, legacy 8.3 и т.п.).
⏺️ Поддержка выбора модели Ollama (по умолчанию qwen2.5-coder:latest) и конфигурируемых подсказок (prompts).
⏺️ Бенчмаркинг моделей (benchmark.py) и отчёты (HTML/MD) для оценки, какая локальная модель даёт лучшие результаты.
⏺️ Настраиваемые коды ответа, циклы фазинга, файл подсказок и пр.

⬇️ Установка и запуск

git clone https://github.com/Invicti-Security/brainstorm.git
cd brainstorm
pip install -r requirements.txt

ollama pull qwen2.5-coder:latest

🖥 Запуск

# базовый фазинг (по умолчанию)
python fuzzer.py "ffuf -w ./fuzz.txt -u http://example.com/FUZZ"

# короткие имена (8.3) — укажите целевой файл в конце
python fuzzer_shortname.py "ffuf -w ./fuzz.txt -u http://example.com/FUZZ" "BENCHM~1.PY"

⚙️ Преимущества Brainstorm
➡️ Умные, контекстные догадки от LLM уменьшают шум и увеличивают релевантность найденных путей.
➡️ Локальная архитектура (Ollama) — без передачи чувствительных данных в облако.
➡️ Быстрое прототипирование и возможность подгонять промпты под конкретное приложение.
➡️ Бенчмаркинг позволяет выбрать оптимальную локальную модель под ваши задачи.

Читать полностью…

Можно ли полагаться на методологию оценки ландшафта угроз, когда одно правило корреляции равно закрытая техника на матрице MITRE ATT&CK?

О проактивной защите на рынке кибербеза говорят давно, но каждый заказчик понимает понятие по-своему, часто неверно, покупая какое либо защитное решение, не получая роста уровня защиты.

«Лаборатория Касперского» решила поменять правила игры и поставила вопрос по-новому: «Насколько эффективно наши продукты закрывают актуальные угрозы?».

«Лаборатория Касперского» предлагает новый, более комплексный подход к оценке эффективности защиты на основе той же MITRE ATT&CK. Вместо простой бинарной покраски кубиков теперь используется многофакторная методология, позволяющая глубже понять, насколько полно и эффективно продукты компании обнаруживает актуальные киберугрозы.

🌎 Присоединяйтесь к стриму 30 октября — разберём, как построить действительно проактивную оборону.

Темы стрима:
🟢 EDR или NDR? Почему не существует универсального решения и как грамотно сочетать технологии.
🟢 MITRE ATT&CK без иллюзий: как отличить реальные результаты от маркетинга.
🟢 Бюджет с пользой: какие инструменты внедрить первыми, чтобы перекрыть самые критичные векторы атак.

Остались вопросы? 🟥
Задайте их в коммьюнити Kaspersky Threat Intelligence заранее или во время эфира — эксперты разберут самые интересные.

▶️ Регистрируйтесь на стрим по ссылке!

Читать полностью…

Microsoft только что исправила критическую уязвимость WSUS (CVE-2025-59287) — и злоумышленники уже используют ее.

В четверг Microsoft выпустила внеплановые обновления безопасности для исправления критически важной уязвимости службы обновления Windows Server (WSUS) с помощью эксплойта Proof-of-Concept (Poc), который был доступен публично и активно эксплуатировался в реальных условиях.

Уязвимость, о которой идёт речь, — CVE-2025-59287 (оценка CVSS: 9,8). Это уязвимость удалённого выполнения кода в WSUS, которая была первоначально исправлена ​​технологическим гигантом в рамках обновления «Вторник исправлений», опубликованного на прошлой неделе.

Недостаток связан со случаем десериализации ненадёжных данных в WSUS, что позволяет неавторизованному злоумышленнику выполнить код по сети. Стоит отметить, что уязвимость не затрагивает серверы Windows, на которых не активирована роль сервера WSUS.

В гипотетическом сценарии атаки удалённый злоумышленник, не прошедший аутентификацию, может отправить специально созданное событие, которое запускает небезопасную десериализацию объекта с использованием «устаревшего механизма сериализации», что приводит к удалённому выполнению кода.

По словам исследователя безопасности HawkTrace Батухана Эра, проблема «возникает из-за небезопасной десериализации объектов AuthorizationCookie, отправляемых на конечную точку GetCookie(), где зашифрованные данные cookie расшифровываются с помощью AES-128-CBC и затем десериализуются через BinaryFormatter без надлежащей проверки типа, что позволяет удалённо выполнять код с привилегиями SYSTEM».

Стоит отметить, что сама Microsoft ранее рекомендовала разработчикам прекратить использование BinaryFormatter для десериализации, поскольку этот метод небезопасен при использовании с недоверенными входными данными. Реализация BinaryFormatter была впоследствии удалена из .NET 9 в августе 2024 года.

Читать полностью…

🐷Rusty Hog - инструмент, состоящий из набора сканеров, основанный на инструменте TruffleHog, но написанный на языке Rust для повышения производительности. Использует регулярные выражения для поиска конфиденциальной информации, такой как ключи API, пароли и личные данные.

📝Возможности
Инструмент предоставляет возможность пользователям указывать путь к собственному файлу JSON с регулярными выражениями, которые соответствуют конфиденциальным данным. Любой указанный файл заменяет, а не дополняет регулярные выражения по умолчанию. На вход инструмент ожидает, что файл будет представлять собой один объект JSON.

Стоит отметить, что сканеры поддерживают функцию списка разрешённых элементов, то есть можно указать список регулярных выражений для каждого шаблона, которые будут игнорироваться сканером.

⬇️Установка
Скачать последнюю версию инструмента можно со страницы релизов. На странице представлены ZIP-файлы которые необходимо распаковать.

Пример установки zip-файла с модулем choctaw_hog.

wget https://github.com/newrelic/rusty-hog/releases/download/v1.0.11/rustyhogs-darwin-choctaw_hog-1.0.11.zip
unzip rustyhogs-darwin-choctaw_hog-1.0.11.zip
darwin_releases/choctaw_hog -h

Rusty Hog предоставляет следующие исполняемые модули:
🔴Ankamali Hog — сканирует Google Docs на наличие секретов.

ankamali_hog [FLAGS] [OPTIONS] <GDRIVEID>

🔴Berkshire Hog — сканирует хранилища S3 на наличие секретов.

berkshire_hog [FLAGS] [OPTIONS] <S3URI> <S3REGION>

🔴Choctaw Hog — сканирует Git-репозитории на наличие секретов.

choctaw_hog [FLAGS] [OPTIONS] <GITPATH>

🔴Duroc Hog — сканирует каталоги, файлы и архивы на наличие секретов.

duroc_hog [FLAGS] [OPTIONS] <FSPATH>

🔴Essex Hog — сканирует страницы Confluence Wiki на наличие секретов.

essex_hog [FLAGS] [OPTIONS] <PAGEID> <URL>

🔴Gottingen Hog — сканирует задачи (issues) в JIRA на наличие секретов.

gottingen_hog [FLAGS] [OPTIONS] <JIRAID>

🔴Slack Hog — сканирует каналы Slack на наличие секретов.

hante_hog [FLAGS] [OPTIONS] --authtoken <BEARERTOKEN> --channelid <CHANNELID> --url <SLACKURL>

Читать полностью…

🚩 Новые задания на платформе HackerLab!

👩‍💻 Категория Pentest Machines — NoSecList

Приятного хакинга!

Читать полностью…

ElfDoor-gcc

ElfDoor-gcc — это LD_PRELOAD, который захватывает gcc для внедрения вредоносного кода в бинарные файлы во время компоновки, не затрагивая исходный код.

Что такое LD_PRELOAD?
LD_PRELOAD — это переменная окружения в Linux и других Unix-подобных системах, которая позволяет вам загружать свою собственную библиотеку функций ПЕРЕД всеми остальными библиотеками, которые использует программа.

Как это работает?
1️⃣Программа хочет выполнить функцию main(), чтобы вывести текст.
2️⃣Система ищет, где находится эта функция. Сначала она смотрит в библиотеках, указаных в LD_PRELOAD.
3️⃣Если там есть ваша версия функции main(), система выполнит вашу функцию, а не оригинальную.

📕Установка:

git clone https://github.com/MatheuZSecurity/ElfDoor-gcc

cd ElfDoor-gcc

chmod +x install.sh

sudo ./install.sh

📌Использование:
➖После команды sudo ./install.sh, мы сможем компилировать программы с вредоносным сценарием.
➖Компилируем любой код:

gcc codeby.c -o codeby

➖Запускаем:

sudo ./codeby

Читать полностью…

Beelzebub — Honeypot с ИИ-симуляцией

Beelzebub — продвинутый honeypot-фреймворк, разработанный для обеспечения безопасной среды для обнаружения и анализа кибер-атак.. Проект делает ставку на «low-code» конфигурацию (YAML), мультипротокольную поддержку (SSH, HTTP, TCP, MCP) и интеграцию LLM/ИИ для убедительной симуляции.

⚡️ Основные возможности Beelzebub
➡️ Low-code конфигурация — сервисы и сценарии описываются YAML-файлами, что ускоряет развёртывание и модификацию поведения honeypot’а.
➡️ LLM-интеграция — использование больших языковых моделей для имитации «человеческого» или сервисного поведения, создавая впечатление высокоинтерактивного окружения, при этом сохраняя безопасность.
➡️ Поддержка множества протоколов — SSH, HTTP, TCP и специализированный MCP (с защитой от prompt injection).
➡️ Набор для мониторинга и аналитики — экспорт метрик в Prometheus, готовая интеграция с ELK/Elastic и визуализация событий.
➡️ Контейнеризация и Kubernetes — готовность к запуску через Docker Compose, сборку через Go и развёртывание в k8s с Helm-чартом.

⬇️ Установка и запуск

👩‍💻 Через Docker Compose :

git clone https://github.com/mariocandela/beelzebub.git
cd beelzebub
docker-compose build
docker-compose up -d

👩‍💻 Запуск на Go:

go mod download
go build
./beelzebub --confCore ./configurations/beelzebub.yaml --confServices ./configurations/services/

👩‍💻 Kubernetes (Helm):

helm install beelzebub ./beelzebub-chart
# обновление
helm upgrade beelzebub ./beelzebub-chart

В репозитории есть примеры конфигураций для разных сценариев honeypot’ов — создавайте свои файлы в /configurations/services/.

Читать полностью…

🟧Как обнаружить атаку на AD, когда не видно ничего подозрительного?

Изучите техники и методики атак на инфраструктуру Active Directory!

Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Бросаем вызов с 24 ноября 😎

🟧 Регистрация

Содержание курса:
🟧 AD-сети с миксом Windows/Linux
🟧 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🟧 Захват и укрепление позиций внутри инфраструктуры
🟧 Применение и анализ популярных эксплоитов

Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff

🟧🟧🟧 Дарим доступ к 20+ заданиям на взлом AD на hackerlab.pro при записи на курс!

🚀 @CodebyManagerBot

Читать полностью…

🎧 Как понять, что вас слушают — и защититься от этого
Может показаться паранойей, но прослушка — давно не шпионская фантастика. Диктофоны размером с пуговицу, Bluetooth-маячки и смартфоны, которые "сдают" владельца — всё это доступно каждому.

Мы подготовили PDF-гайд, в котором объясняем:
🟧 какие устройства чаще всего используются для прослушки,
🟧 как их обнаружить (да, даже “жучки” под столом),
🟧 как защитить себя — без дорогостоящего оборудования.

🌟 СКАЧАТЬ ГАЙД
(сохраняйте, пригодится)

➡️ Хотите разобраться глубже?
Ждем вас на курсе «OSINT: технология боевой разведки».
Учимся находить нужную информацию в открытых источниках: от утечек и соцсетей до геолокации и метаданных. Всё — с практикой и фокусом на RU-сегмент.

🟢 Запись открыта до 30 октября
🟢 от 68 990 руб
🟢 Промокод на скидку в методичке!

По всем вопросам: ⚡️ @CodebyManagerBot

Читать полностью…

Обнаружен новый метод «Pixnapping» для Android, позволяющий злоумышленникам получать доступ к конфиденциальной информации (OTP, личные сообщения) без запроса разрешений, фактически «подглядывая» за экраном.

📌Что такое Pixnapping?
Злоумышленник, используя специальную технику анализа времени рендеринга, может полностью восстановить содержимое экрана жертвы, пиксель за пикселем. На практике это означает, что при помощи Pixnapping можно «сделать скриншот» даже того, что системой считается недоступным без разрешения, — и всё это за счёт анализа сторонних характеристик отображения.

➡️ Суть атаки
Основная идея атаки — запуск вредоносного приложения, которое не требует никаких разрешений и при этом может инициировать запуск активностей целевых приложений (Google Authenticator, Gmail, Signal или Venmo).

Всё это происходит в фоновом режиме, и злоумышленник скрытно, «за кулисами», выводит полупрозрачные наложения (overlay) поверх чувствительных элементов.

Эти overlay используют возможности Android для взаимодействия с Graphical Processing Unit (GPU) и позволяют измерять время отображения каждого пикселя.
🔹Злоумышленник, вставляя полупрозрачные слои, измеряет задержку отображения пикселей, возникающую из-за особенностей рендеринга и сжатия GPU. Анализ задержек позволяет определить цвет пикселя в момент его отображения.
🔹Затем, используя специальное ПО, атакующий собирает информацию о каждом пикселе и восстанавливает исходные данные.

🤩 Исследовательская команда провела тесты на реальных устройствах: Google Pixel (версии 6–9), Samsung Galaxy S (S21, S23 и более новые), и других моделях под управлением Android 13-16. Они подтвердили, что атака работает на всех перечисленных устройствах и не требует разрешений от пользователя.

Технически на вывод: скорость дефектных данных — в среднем 0,6–2,1 пикселей за секунду. Для полного извлечения содержимого, например, входящих сообщений или паролей, требуется примерно10–25 часов непрерывной работы. Несмотря на длительность, это вполне реализуемо для целенаправленных атак.

🔔 Google уже выпустил обновление, которое ограничивает возможность таких атак путём ограничения количества активных действий, вызываемых вредоносным приложением, и уменьшения возможностей вставки overlay.

Тем не менее, исследователи нашли обходные пути, которые позволяют продолжать реализовывать Pixelnap — эти обходы сейчас находятся в стадии разработки и тестирования.

Ожидается, что полноценный патч будет включён в декабрьский бюллетень безопасности Android.

Читать полностью…

🔍MS-RPC Fuzzer - инструмент для автоматизации поиска уязвимостей в интерфейсах и процедурах MS-RPC (Microsoft Remote Procedure Call), позволяющий получить представление о том, какие реализации MS-RPC могут быть уязвимыми с помощью удобной визуализации данных.

MS-RPC — это протокол, используемый в операционных системах Windows для обеспечения взаимодействия между процессами как локально, так и через сеть. Он позволяет клиентам вызывать процедуры в удаленных системах так, как если бы они были локальными функциями.

❓Причины создания инструмента
⏺️Изучение интерфейсов RPC вручную занимает очень много времени.
⏺️Визуализация при изучении MS-RPC может быть запутанной, что может привести к упущению потенциальных проблем с безопасностью.
⏺️Существует несколько отличных инструментов для исследования уязвимостей MS-RPC: RpcView, RpcMon и Rpcinvestigator. Эти инструменты позволяют получить представление о работе служб RPC в режиме реального времени. Однако ни один из этих инструментов не позволяет проводить дальнейшие исследования, например подключаться к конечной точке и вызывать RPC-вызовы.

⬇️Использование
Для начала работы с инструментом необходимо импортировать модуль MS-RPC-Fuzzer.

Import-Module .\MS-RPC-Fuzzer.psm1

Работа инструмента состоит из трёх основных этапов.

1️⃣На первом этапе для указанной цели проводится инвентаризация интерфейсов, конечных точек и процедур RPC и результаты экспортируются в файл JSON.

Get-RpcServerData -target "C:\Windows\System32\efssvc.dll" -OutPath .\output

2️⃣На втором этапе экспортированный файл JSON можно использовать для фаззинга.

'.\output\rpcServerData.json' | Invoke-RpcFuzzer -outpath .\output\ -minStrLen 100 -maxStrLen 1000 -minIntSize 9999 -maxIntSize 99999

3️⃣Третий этап — анализ. Экспортируются файлы JSON, содержащие результаты фаззинга. Пользователь может использовать эти файлы JSON по своему усмотрению. Однако для импорта файлов JSON в базу данных Neo4j необходимо использовать специальную оболочку.

'.\output\Allowed.json' | Import-DatatoNeo4j -Neo4jHost 192.168.178.89:7474 -Neo4jUsername neo4j

❗️Инструмент следует запускать только в изолированной и контролируемой среде.

Читать полностью…

💬 В даркнете выставили «ключи от России»: утечка 3 ТБ данных из SMS-сервисов

👺 Хакеры заявили, что взломали два крупнейших SMS-провайдера России и выложили 3 терабайта данных — в базе якобы находятся имена, номера телефонов, IP-адреса, банковские уведомления, коды активации и даже сообщения от госструктур. Если утечка реальна, это может стать одной из крупнейших компрометаций данных в истории РФ.

🕷️ Последствия потенциально катастрофичны: злоумышленники смогут перехватывать SMS-коды, восстанавливать доступ к аккаунтам, взламывать криптокошельки и рассылать фишинг от имени банков и сервисов прямо с официальных номеров.

Пока ни один из сервисов официально не подтвердил утечку, но риски слишком высоки, чтобы ждать.

❗️Что делать прямо сейчас:
🔴 Откажитесь от SMS-аутентификации — используйте приложения вроде Google Authenticator, Authy, Bitwarden или менеджеры паролей с 2FA.
🔴 Проверьте, где привязан ваш номер (почта, банк, соцсети, биржи) и добавьте альтернативы — e-mail или резервные коды.
🔴 Смените пароли на уникальные и сложные, храните их в менеджере паролей.
🔴 Отключите восстановление по номеру, если есть возможность.
🔴 Не переходите по ссылкам из SMS — даже если сообщение выглядит «официально».

Даже если слухи окажутся преувеличенными — повысить цифровую гигиену никогда не поздно.
Информационная безопасность начинается с осознанных привычек.

Читать полностью…

За кулисами сайтов: как найти то, что не предназначено для чужих глаз 👀

Любой сайт — это лишь видимая часть айсберга. Гораздо интереснее то, что скрыто в его недрах: забытые админ-панели, резервные копии БД, черновики финансовых отчётов

Dirsearch — мощный OSINT-инструмент, который автоматически сканирует сайты, перебирая тысячи путей. Он находит то, что не видно в интерфейсе и не проиндексировано поисковиками.

В статье разбираем:
✴️Как работает Dirsearch и как читать его находки (коды 200, 403, 301 — это не просто цифры)
✴️Полная инструкция: от установки до настройки кастомных словарей и работы с прокси
✴️Легальные сценарии для бизнес-аналитики, конкурентной разведки и оценки безопасности

Освойте все инструменты разведки на нашем курсе, стартуем 20 октября

✔️По всем вопросам пишите @CodebyManagerBot

Читать полностью…

📱 14 октября 2025 года — историческая дата для цифрового мира. В этот день компания Microsoft официально прекратила поддержку всех редакций Windows 10, подведя черту под жизненным циклом одной из самых популярных и массовых операционных систем, которая верой и правдой служила пользователям целое десятилетие.

⤵️Что на практике означает «конец поддержки»?
С сегодняшнего дня для Windows 10 больше не будут выпускаться:
- Обновления для системы безопасности, защищающие от новых угроз
- Обновления компонентов, добавляющие новые функции
- Техническая помощь от Microsoft

Однако существует важный нюанс — программа ESU (Extended Security Updates). Это платная услуга от Microsoft, которая позволяет получать критические обновления безопасности вплоть до 2028 года.

📍Путь «десятки»
Windows 10 была представлена 29 июля 2015 года и изначально позиционировалась как «последняя версия Windows». Microsoft стремилась создать единую платформу для ПК, планшетов и смартфонов, перейдя на модель постоянного обновления «Windows как сервис».

По данным StatCounter, Windows 10 стала настоящим феноменом:
▪️Самая популярная Windows в истории, обогнавшая легендарную Windows XP
▪️Пик популярности пришелся на декабрь 2021 года, когда ее доля на рынке Windows достигла рекордных 82%
▪️Даже после выхода Windows 11, «десятка» до последнего дня оставалась второй по распространенности системой, занимая около 40% рынка

Секрет ее долголетия — в удачном балансе: она сочетала в себе стабильность и черты любимой

Windows 7

с требованиями современности.

📍С уходом Windows 10 у пользователей есть два основных пути:
▪️Переход на Windows 11
Новая ОС от Microsoft встречает неоднозначную реакцию. К главным претензиям относятся:
- Жесткие системные требования (TPM 2.0, Secure Boot)
- Периодическая нестабильность и баги
- Спорные изменения интерфейса (например, меню «Пуск»)

Несмотря на критику,

Microsoft

продолжает дорабатывать систему, и рано или поздно переход на нее станет неизбежным.

▪️Рассмотреть Linux
С уходом Windows 10 давние дебаты между сторонниками Windows и Linux стали еще актуальнее. Выбор зависит от задач: для большинства домашних и офисных нужд Windows 11 остается основным путем, но Linux представляет собой мощную альтернативу для тех, кто ценит гибкость и открытость.

Читать полностью…

В 2000 году интернет был полон оптимизма и дотком-бума. Казалось, что цифровое золотое дно неисчерпаемо. Но этой эйфории был нужен лишь один мощный удар, чтобы обнажить хрупкость новой экономики.

Этим ударом стала серия беспрецедентных кибератак, а их автором — 15-летний канадец, известный под ником Mafiaboy.

Это история о том, как один подросток своими действиями заставил мир задуматься о безопасности в Сети.

🟧Интернет без защиты
На заре своего развития интернет создавался как открытая система для обмена информацией. Вопросы безопасности стояли на последнем месте. Приватность и защита данных были абстрактными понятиями, а низкая распространенность компьютеров создавала иллюзию безопасности. Даже когда интернет стал коммерческой средой, его инфраструктура оставалась уязвимой. Системы были открыты для всех, включая тех, кто решил проверить их на прочность.

🟧Неделя, которая потрясла сеть
Все началось 7 февраля 2000 года. Крупнейший на тот момент портал и поисковик Yahoo! оказался недоступен примерно на час. Это был не сбой, а хорошо спланированный удар. В последующие дни волна атак обрушилась на других гигантов:
🟧Amazon
🟧eBay
🟧CNN
🟧Dell

В течение восьми дней эти сайты, столпы новой экономики, тонули под лавиной ложных запросов. Мир впервые столкнулся с масштабной

DDoS-атакой (Distributed Denial-of-Service)

.

Принцип был прост: перегрузить серверы таким количеством запросов, чтобы они перестали отвечать легитимным пользователям. Эффект был оглушительным.

🟧Кто стоит за атакой?
Уже к середине февраля имя Mafiaboy не сходило с первых полос газет. Кульминацией общественной паники стал саммит по кибербезопасности в Белом доме, созванный президентом США Биллом Клинтоном.
За ником Mafiaboy скрывался 15-летний Майкл Калс. Расследование показало, что он не был гениальным программистом. Свою атаку на Yahoo! Майкл назвал проектом Риволта (Rivolta), что в переводе с итальянского означает «восстание» или «бунт». Такие эксперты, как известный хакер Кевин Поулсен, называли его «скрипт-кидди» — подростком, использовавшим готовые хакерские инструменты, созданные другими.

Его мотивация была простой - хвастовство. Он активно обсуждал свои «подвиги» в

IRC-чатах

, что в итоге и стало главной уликой для

ФБР

и канадской полиции (

RCMP

).

🟧Суд и приговор
12 сентября 2001 года суд Квебека вынес приговор. Учитывая масштаб ущерба, который оценивали в миллиарды долларов (хотя эти цифры многими оспаривались), приговор оказался таким:
🟧Восемь месяцев открытого содержания под стражей (не в тюрьме)
🟧Годичный испытательный срок
🟧Ограничения на использование интернета
🟧Штраф в размере 250 долларов

🟧

Сегодня

Майкл Калс

— успешный эксперт в области кибербезопасности и генеральный директор компании

DecentraWeb

.

Читать полностью…