🚩 Новые задания на платформе HackerLab!

🔑 Категория Криптография — Киноман
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Веб - Задачник

Приятного хакинга!

Читать полностью…

IntelMQ: Платформа для автоматизации сбора и обработки данных об угрозах

IntelMQ — это решение для команд IT-безопасности (CERT, CSIRT, SOC), предназначенное для автоматизации сбора и обработки потоков данных о безопасности (фидов угроз) с использованием системы очередей сообщений. Его основная цель — предоставить аналитикам простой способ сбора и обработки информации об угрозах, что значительно улучшает процессы реагирования на инциденты.

IntelMQ часто используется для:
- Автоматизированной обработки инцидентов
- Получения ситуационной осведомленности (Situational Awareness)
- Автоматической отправки уведомлений
- Сбора данных для других инструментов

⬇️Установка

pipx install intelmq

Теперь необходимо выполнить начальную настройку базы данных и создать структуру для работы IntelMQ.
1️⃣Инициализация базы данных (IntelMQ использует PostgreSQL для хранения конфигураций, очередей и, опционально, событий)

intelmq_psql_initdb

Эта команда создаст необходимые таблицы и роли в PostgreSQL.

2️⃣Настройка окружения

intelmqsetup

Эта команда создаст необходимые директории и файлы конфигурации, обычно в /etc/intelmq/ и /opt/intelmq/.

После установки вам становятся доступны ключевые команды.
▶️intelmqctl - главный инструмент для управления IntelMQ. С его помощью вы запускаете, останавливаете и перезапускаете ботов, проверяете их статус и управляете очередями.

#статус всех ботов
intelmqctl status
    
#запуск конкретного бота
intelmqctl start intelmq.bots.collectors.shadowserver.collector_reports_api
    
#остановить всех ботов
intelmqctl stop
    
#перезапустить всех ботов
intelmqctl restart

▶️intelmqdump - инструмент для работы с «дампами» (сообщениями, которые не удалось обработать и которые были помещены в карантин. Это ключевой элемент надежности IntelMQ, предотвращающий потерю данных)

#просмотреть все файлы дампов
intelmqdump list
   
#обработать конкретный дамп (например, для очереди my-queue)
intelmqdump /opt/intelmq/var/log/my-queue.dump

Функционал IntelMQ реализован через боты трех основных типов:
🔔Коллекторы (Collectors) - отвечают за получение данных из внешних источников
▶️intelmq.bots.collectors.http.collector_http (скачивает фиды по HTTP/HTTPS)
▶️intelmq.bots.collectors.mail.collector_mail_attach (получает данные из вложений электронной почты)
▶️intelmq.bots.collectors.shadowserver.collector_reports_api (собирает отчеты от Shadowserver Foundation)

🔔Парсеры (Parsers) - преобразуют сырые данные, полученные коллекторами, в унифицированный формат IntelMQ (словарь данных, соответствующий Harmonization)
▶️intelmq.bots.parsers.shadowserver.parser (парсит отчеты Shadowserver)
▶️intelmq.bots.parsers.json.parser (парсит данные в формате JSON)
▶️intelmq.bots.parsers.csv.parser (парсит данные в формате CSV)

🔔Эксперты (Experts) - обогащают, нормализуют, фильтруют или изменяют данные
▶️intelmq.bots.experts.asn_lookup.expert (добавляет информацию об автономной системе (ASN) для IP-адреса)
▶️intelmq.bots.experts.maxmind_geoip_expert (добавляет геолокационные данные по IP)
▶️intelmq.bots.experts.taxonomy.expert (классифицирует событие в соответствии с таксономией eCSIRT.net)

Рабочий процесс называется pipeline и описывается в конфигурационных файлах. Простейший pipeline может выглядеть так:
▶️intelmq.bots.collectors.http.collector_http загружает список подозрительных IP-адресов с публичного источника
▶️intelmq.bots.parsers.csv.parser преобразует этот список в стандартные события IntelMQ
▶️intelmq.bots.experts.asn_lookup.expert для каждого IP-адреса определяет номер AS
▶️Output (например, бот вывода в файл или базу данных) сохраняет обогащенные данные

Конфигурация такого pipeline задается в файлах /etc/intelmq/pipeline.conf и /etc/intelmq/runtime.conf, где для каждой очереди (например, shadowserver-queue) прописывается цепочка ботов.

#IntelMQ #CTI #CERT #CSIRT #SOC #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Публичный Wi-Fi: почему бесплатный доступ может обойтись дорого

Подключиться к открытой сети легко, но вместе с удобством это может обернуться серьезными рисками для личных данных

В статье рассказываем:
⏺️Как устроен публичный Wi-Fi и в чем его слабые места;
⏺️Какие данные могут перехватить злоумышленники;
⏺️Как работают поддельные точки доступа;
⏺️Что поможет подключаться безопаснее

В этом разборе вы узнаете, каких ошибок стоит избегать и как защитить свои аккаунты, устройства и финансы при подключении к общественным сетям

Еще больше полезных статей о цифровой безопасности, персональных данных и актуальных киберугрозах — на нашем форуме

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

❗️Более 10 000 смартфонов россиян заразились Android-трояном Falcon

В России зафиксирована новая волна заражений Android-устройств банковским трояном Falcon. По данным специалистов компании F6, на конец февраля вредоносной программой было заражено более 10 000 смартфонов пользователей. Зловред ориентирован на кражу финансовых данных и удалённое управление устройствами.

❓Что известно о трояне
➡️Falcon — не новый вирус. Впервые его обнаружили ещё в 2021 году, однако в конце 2025-го появилась значительно обновлённая версия, которая сейчас активно распространяется среди пользователей Android.
➡️Главная цель вредоноса — получить полный контроль над смартфоном и перехватить доступ к банковским приложениям, аккаунтам и сервисам.

В текущей версии троян получил несколько новых возможностей:
⏺️ удалённое управление смартфоном через VNC
⏺️ перехват SMS и кодов подтверждения
⏺️ доступ к контактам и звонкам
⏺️ выполнение USSD-команд
⏺️ передача украденных данных через Telegram

По сути, после заражения устройство может полностью контролироваться злоумышленниками.

✉️ Как происходит заражение
Falcon распространяется под видом обычных приложений. После установки программа просит доступ к службе Accessibility — функции Android, предназначенной для людей с ограниченными возможностями.

Если пользователь выдаёт это разрешение, троян получает практически неограниченный доступ к системе.

После этого вредонос начинает использовать классическую схему overlay-атак:
1️⃣ Пользователь открывает банковское или другое популярное приложение.
2️⃣ Falcon накладывает поверх него поддельное окно авторизации.
3️⃣ Жертва вводит логин, пароль или данные карты.
4️⃣ Эти данные отправляются злоумышленникам.

По данным исследователей, троян нацелен более чем на 30 приложений и сервисов, включая:
📉 мобильные банки
📉 инвестиционные сервисы
📉 государственные приложения
📉 маркетплейсы
📉 мессенджеры
🖱 VPN-клиенты

🧠 Как защититься
Специалисты рекомендуют придерживаться базовых правил безопасности:
👉 устанавливать приложения только из официальных магазинов
👉 внимательно проверять запрашиваемые разрешения
👉 не выдавать доступ к Accessibility неизвестным программам
👉 не переходить по подозрительным ссылкам

#news #android #malware #trojan

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

PyADRecon: Инструмент для анализа Active Directory

PyADRecon — приложение с открытым исходным кодом для анализа и аудита Active Directory, позволяющее собирать и структурировать информацию о пользователях, компьютерах и объектах домена. Инструмент предоставляет возможности экспорта данных в форматы CSV, XLSX и HTML, поддерживает аутентификацию NTLM и Kerberos и не требует навыков программирования для использования.

PyADRecon спроектирован для упрощения сбора и анализа данных Active Directory, предоставляя как интерактивный графический интерфейс, так и функциональность командной строки для автоматизации. Основные функции:
▶️Получение информации о пользователях, компьютерах, группах и других объектах
▶️Поддержка NTLM и Kerberos, включая использование TGT-файлов
▶️Множество форматов экспорта (CSV, Excel (XLSX), HTML-дашборды)
▶️Генерация отчетов из ранее сохраненных CSV-файлов без подключения к AD
▶️Кроссплатформенность (работа на Windows, macOS и Linux)

⬇️Установка

pipx install PyADRecon

Проверка

pyadrecon -h

⏺️Базовый сбор данных с NTLM-аутентификацией

pyadrecon -dc 192.168.1.10 -u administrator -p 'Password123!' -d DOMAIN.LOCAL

⏺️Сбор с аутентификацией Kerberos (обход channel binding)

pyadrecon -dc dc01.domain.local -u admin -p 'Password123!' -d DOMAIN.LOCAL --auth kerberos

⏺️Генерация HTML-дашборда из CSV-файлов

pyadrecon --generate-dashboard-from /path/to/csv/files -o dashboard.html

⏺️Аудит неактивных учетных записей

pyadrecon -dc dc01.domain.local -u auditor -p 'Password123!' -d DOMAIN.LOCAL --dormant-days 60 --collect users --only-enabled

⏺️Инвентаризация компьютеров в домене

pyadrecon -dc dc01.domain.local -u admin -p 'Password123!' -d DOMAIN.LOCAL --collect computers -o computer_inventory

⏺️Еженедельный отчет с ротацией

#!/bin/bash
DATE=$(date +%Y%m%d)
pyadrecon -dc dc01.domain.local -u svc_report -p 'Password123!' -d DOMAIN.LOCAL -o "ad_report_$DATE"

⏺️Анализ устаревших паролей

pyadrecon -dc dc01.domain.local -u admin -p 'Password123!' -d DOMAIN.LOCAL --collect users --password-age 90 --only-enabled

👉Ограничения
- Необходима учетная запись с правами на чтение объектов AD
- Требуется доступ к контроллеру домена (порты 389/636)
- Для аутентификации Kerberos требуется корректная настройка времени и DNS
- При больших доменах (более 5000 объектов) рекомендуется увеличить --page-size

#PyADRecon #ActiveDirectory #ADRecon #Kerberos #Audit #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

➡️Как обнаружить атаку на AD, когда не видно ничего подозрительного?

Изучите техники и методики атак на инфраструктуру Active Directory!

Наша практическая лаборатория содержит более 30 виртуальных машин, которые вам предстоит сломать. Бросаем вызов с 16 марта 🚗

➡️ Регистрация

Содержание курса:
⏺️AD-сети с миксом Windows/Linux
⏺️Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
⏺️Захват и укрепление позиций внутри инфраструктуры
⏺️Применение и анализ популярных эксплоитов

Авторы курса: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff

😀☺️😚🥲😎Дарим доступ к 20+ заданиям на взлом AD на hackerlab.pro при записи на курс!

Читать полностью…

❗️Новая Pro-лаборатория — Shadow Pipeline

Крупная технологическая корпорация, закрытая внутренняя сеть, подозрительное хранилище данных и минимальная точка входа. Ваша задача — проникнуть в инфраструктуру и выяснить, что скрывается в глубине сети.

Что внутри:
⏺️3 ВМ, 6 этапов
⏺️сценарий с постепенным развитием доступа
⏺️отличный формат для тренировки логики, разведки и работы во внутренних сетях

Лаборатория доступна по подписке Pro вместе с сотнями CTF-задач и курсами:
⏺️Введение в информационную безопасность
⏺️SQL Injection Master

Залетай и проверь, насколько хорошо ты умеешь двигаться по сети

▶️ https://hackerlab.pro/

Читать полностью…

Открытие весеннего сезона и новые задания на платформе HackerLab!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе. Не упустите шанс провести весенние дни с пользой, прокачать свои навыки и стать лучшим!

Призы:
🥇1 место — 2 месяца подписки PRO на HackerLab + 30% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥈2 место — 1 месяц подписки PRO на HackerLab + 20% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
🥉3 место — 1 месяц подписки PRO на HackerLab + 10% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе
4-10 место — 1 месяц подписки PLUS на HackerLab + 5% скидка на любой курс Академии Кодебай, эксклюзивный бейдж на платформе

📆 Сезон завершается 31 мая
——————————————
🚩 Новые задания на платформе HackerLab!

⚙️ Категория Реверс-инжиниринг — Анализатор вселенной

🌍 Категория Веб — Документальный архив

Приятного хакинга!

Читать полностью…

OSSLSignCode: Инструмент для подписи кода и проверки цифровых подписей

OSSLSignCode — утилита с открытым исходным кодом для подписи исполняемых файлов и проверки цифровых подписей с использованием криптографических библиотек OpenSSL. Инструмент предназначен для создания, добавления, извлечения и верификации подписей в форматах Authenticode (PE, MSI, CAB) и других, поддерживая гибкую настройку параметров подписи и работу с различными типами сертификатов.

↗️OSSLSignCode предоставляет функциональность, аналогичную стандартной утилите signtool из Windows SDK, но с открытым исходным кодом и поддержкой различных платформ. Инструмент позволяет:
▶️создание цифровых подписей для PE-файлов (.exe, .dll), MSI-пакетов, CAB-архивов
▶️получение встроенных подписей из подписанных файлов
▶️очистку файлов от существующих цифровых подписей
▶️верификацию целостности и подлинности подписанных файлов
▶️добавление timestamp от доверенных служб

⬇️Установка

sudo apt install osslsigncode

Проверка

osslsigncode -h

⏺️Базовая подпись исполняемого файла с описанием и временной меткой

osslsigncode sign \
  -pkcs12 code_signing_cert.p12 \
  -pass secure_password \
  -n "Application Name" \
  -i https://company.com \
  -t http://timestamp.digicert.com \
  -h sha256 \
  -in app.exe \
  -out app_signed.exe

Подписание файла с указанием описания, URL компании, добавлением доверенной временной метки и использованием современного хеш-алгоритма SHA256.

⏺️Подпись MSI-инсталлятора

osslsigncode sign \
  -pkcs12 cert.p12 \
  -pass password \
  -add-msi-dse \
  -t http://timestamp.digicert.com \
  -in installer.msi \
  -out installer_signed.msi

Специализированная подпись для MSI-пакетов с обязательным флагом -add-msi-dse, обеспечивающим корректную работу цифровой подписи.

⏺️Проверка подписи с полной валидацией цепочки сертификатов

osslsigncode verify \
  -in app_signed.exe \
  -CAfile trusted_roots.pem \
  -CRLfile crl.pem \
  -verbose \
  -require-leaf-hash sha256:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Комплексная проверка подписи, включающая валидацию по доверенным корневым сертификатам, проверку списков отзыва (CRL) и требование конкретного хеша листового сертификата для исключения подмены.

⏺️Извлечение подписи для анализа

osslsigncode extract-signature -pem -in app_signed.exe -out signature.pem

Извлечение встроенной подписи в PEM-формате для последующего анализа структуры PKCS#7, проверки сертификатов или интеграции с другими криптографическими инструментами.

⏺️Добавление временной метки к уже подписанному файлу

osslsigncode add \
  -t http://timestamp.sectigo.com \
  -in app_signed.exe \
  -out app_with_timestamp.exe

Обновление существующей подписи путем добавления актуальной временной метки без повторного подписания, что продлевает срок доверия к подписи после истечения сертификата.

🎇Ограничения и требования
- Требует установленной OpenSSL (версии 1.1.1 или 3.x)
- Поддерживаются PE, MSI, CAB
- Требуются действительные сертификаты подписи кода
- Для установки могут потребоваться права администратора

#OSSLSignCode #OpenSSL #tool #pentest #PKCS12 #MSI

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Как на самом деле работает режим инкогнито и гарантирует ли он приватность?

В новой статье рассказываем, почему приватный режим — это не анонимность.

Разбираем, почему режим инкогнито не делает вас невидимкой:
⏺️Кто на самом деле видит ваши запросы
⏺️Что такое фингерпринтинг и почему куки тут ни при чем
⏺️Как вас находят, даже если вы чистите историю

Также в статье:
➡️Как обеспечивать максимальную анонимность в сети, если это действительно необходимо
➡️А также рассмотрим сценарии, когда режим инкогнито может быть полезен

Читайте подробнее!

#анонимность #приватность #браузер

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🛡Кибер Трукрайм. Когда эпидемия грянула в одночасье и все хотят плакать

Представьте беговую дорожку.
На финише — вирус, который может уронить мировую инфраструктуру: банки, больницы, заводы, логистику.

На старте сразу несколько игроков:
🟢Microsoft с уязвимостью, из-за которой всё началось
🟢злоумышленники
🟢лучшие специалисты по кибербезопасности
🟢и безымянный хакер в засаленном худи

WannaCry: Кто добежит первым? Мир уйдёт в темноту или успеют остановить цепную реакцию? И да: это только первая глава истории.

Это спецсезон «Кибер Трукрайм» с разбором самых громких и сложных кейсов в кибербезопасности. Сегодняшний выпуск про ситуацию, где ставки были максимальные, спасение — почти случайность, а зачем всё затевали — до сих пор неясно. Версий много. Не хватает разве что инопланетян.

Эксперты выпуска:
— Дмитрий Галов, руководитель Kaspersky GReAT в России и СНГ
— Борис Ларин, ведущий исследователь Kaspersky GReAT

Слушать можно на Яндекс.Музыке, Apple Podcast или на другой удобной вам платформе.

Читать полностью…

🐗 Snort 3 — современный IDS/IPS-движок для обнаружения и предотвращения атак

Snort 3 (Snort++) — это переработанная версия легендарного IDS/IPS-движка, используемого для анализа сетевого трафика и обнаружения атак в реальном времени. Проект развивает Cisco, а сам движок активно применяется как в корпоративных SOC, так и в лабораториях для анализа и эмуляции сетевых атак.

Snort 3 получил модульную архитектуру, Lua-конфигурацию и серьёзный прирост производительности по сравнению со Snort 2.x.

🧠 Основные возможности Snort 3
⏺️ Глубокий анализ трафика (Deep Packet Inspection) — детектирование атак на уровне L3–L7 с использованием сигнатур, протокольных декодеров и препроцессоров.
⏺️ Модульная архитектура — плагины можно включать/отключать, расширять и писать собственные инспекторы.
⏺️ Многопоточность — полноценная поддержка multithreading для высокой пропускной способности.
⏺️Lua-конфигурация — гибкая настройка через snort.lua вместо громоздкого snort.conf из 2-й версии.
⏺️IDS и IPS режимы — может работать как пассивный сенсор или как inline-IPS с блокировкой пакетов.
⏺️Совместимость с правилами Snort 2.x — можно использовать существующие rule-сеты (VRT, community rules и др.).


⛓️‍💥 Базовый сценарий использования
Запуск Snort в режиме IDS для анализа интерфейса:

snort -c snort.lua -i eth0

Проверка конфигурации перед запуском:

snort -c snort.lua -T

Анализ pcap-файла:

snort -c snort.lua -r traffic.pcap

Запуск в inline-режиме (IPS) через DAQ:

snort -Q --daq afpacket -i eth0 -c snort.lua

⬇️ Установка
🐧 Linux (из репозитория или сборка из исходников)

git clone https://github.com/snort3/snort3.git
cd snort3
export my_path=/path/to/snorty
./configure_cmake.sh --prefix=$my_path
cd build
make -j $(nproc) install

После установки — проверить версию:

snort -V

#ids #ips #networksecurity #soc #snort #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Первый большой кризис безопасности ИИ-агентов уже здесь

OpenClaw — open-source агент ИИ, который за считанные недели собрал более 135.000⭐ на GitHub — стал не только технологическим феноменом, но и эпицентром крупнейшего инцидента в сфере AI-агентов 2026 года.

«Агенты ИИ с широким доступом к системе представляют собой принципиально новую категорию риска».

🔎OpenClaw (ранее Clawdbot и Moltbot) — автономный AI-агент, который может:
▶️выполнять shell-команды
▶️читать и записывать файлы
▶️отправлять письма
▶️управлять календарями
▶️интегрироваться с Slack, Google Workspace и мессенджерами
В отличие от обычных ассистентов, он действует от вашего имени. Пользователи даже покупают отдельные устройства, чтобы держать его запущенным 24/7.

Ключевая особенность —

постоянная память

: агент запоминает контекст и со временем изучает ваши привычки.

Удобно? Безусловно. Безопасно? Уже нет.

👉Хронология кризиса OpenClaw
⏺️27–29 января 2026
Через маркетплейс ClawHub злоумышленники распространили 335 вредоносных навыков, маскируя их под легитимные инструменты с профессиональными описаниями и нейтральными названиями вроде solana-wallet-tracker.
После установки пользователям предлагалось запустить внешний код — именно он разворачивал кейлоггеры на Windows и Atomic Stealer на macOS.
Позже исследователи подтвердили: 341 из 2857 навыков (≈12%) были скомпрометированы. Это показало, насколько уязвима экосистема, где публикация расширений практически не модерируется.

Один из экспертов назвал происходящее «первым supply-chain кризисом в мире автономных AI-агентов».

⏺️30 января 2026 — «тихий» патч и CVE-2026-25253
OpenClaw выпускает версию 2026.1.29, закрывающую уязвимость, но без немедленного публичного раскрытия деталей.
Проблема позволяла выполнить удалённый код через одну вредоносную ссылку — атака эксплуатировала доверие Control UI к параметрам URL и уязвимость WebSocket-соединений.
Даже инстансы, настроенные только на localhost, могли быть захвачены через межсайтовый hijacking.

Позже исследователи подтвердили: «эксплуатация занимает миллисекунды после открытия страницы».

⏺️31 января 2026 — 21 639 открытых экземпляров
Censys выявила 21 639 публично доступных инстансов OpenClaw — всего несколькими днями ранее их было около 1000. Рост оказался взрывным. Во многих из них обнаружили утечки API-ключей, OAuth-токенов и учетных данных в открытом виде. США лидировали по числу развертываний, за ними следовал Китай, где около 30% работали на Alibaba Cloud.

Это означало, что даже без сложной эксплуатации тысячи агентов уже были доступны извне.

⏺️31 января 2026
На той же неделе обнаружили, что Moltbook — соцсеть для OpenClaw-агентов — имела незащищённую базу данных. В результате утекли 35 000 email-адресов и 1,5 млн API-токенов. При этом платформа насчитывала более 770.000 активных агентов.

Экосистема вокруг OpenClaw росла быстрее, чем выстраивалась её безопасность — классический сценарий «growth over governance».

⏺️3 февраля 2026
CVE-2026-25253 получил публичный статус с рейтингом CVSS 8.8 (High). В тот же день OpenClaw опубликовал ещё две рекомендации по безопасности, связанные с внедрением команд.
Фактически стало ясно: агент с системным доступом + постоянная память + SaaS-интеграции = новый класс атак.

Сообщество безопасности назвало OpenClaw «кошмаром для ИБ» и «пожаром в мусорном контейнере», но популярность проекта продолжала расти.

🎇Почему это критично для бизнеса
Проблема не только в багах. Проблема в том, что сотрудники подключают личных AI-агентов к корпоративным системам — без ведома ИБ. OpenClaw может получить доступ к:
▶️Slack-сообщениям
▶️Gmail
▶️календарям
▶️документам
▶️OAuth-токенам для lateral movement
А благодаря «постоянной памяти» — все данные сохраняются между сессиями.

Если агент будет скомпрометирован, злоумышленник унаследует весь этот доступ. Это уже называют:
«теневой ИИ с повышенными привилегиями».

#OpenClaw #Moltbot #Clawdbot #ClawHub #news

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Nuitka: Компилятор Python в исполняемые файлы

Nuitka — это компилятор, транслирующий Python-код в C, а затем создающий исполняемый файл или модуль расширения. Инструмент написан на Python и обеспечивает полную совместимость с CPython, поддерживая практически все конструкции языка от Python 2.6 до 3.14. Основное назначение Nuitka — создание автономных приложений, ускорение выполнения кода и распространение программ без зависимости от интерпретатора.

👉Ключевые особенности
- Поддерживает Python 2.6–2.7 и 3.4–3.14
- Различные режимы компиляции: ускоренный (accelerated), автономный (standalone), однофайловый (onefile), модуль (module), пакет (package)
- Работает на Windows, Linux, macOS, FreeBSD
- Автоматическое управление зависимостями (включает необходимые модули и библиотеки)
- Поддержка упаковки данных (включение файлов ресурсов, DLL, метаданных)
- Интеграция с внешними компиляторами (MSVC, MinGW64, gcc, clang, zig)

⬇️Установка

pip install nuitka

Проверка

nuitka -h

⏺️Компиляция в ускоренном режиме (по умолчанию)

nuitka script.py

Создает исполняемый файл script.exe (Windows) или script.bin (Linux/macOS).

⏺️Создание автономной папки (standalone)

nuitka --mode=standalone --follow-imports script.py

Создает директорию script.dist с исполняемым файлом и всеми необходимыми библиотеками.

⏺️Создание однофайлового исполняемого файла

nuitka --mode=onefile --follow-imports script.py

Создает один исполняемый файл, который распаковывается во временную директорию при запуске.

⏺️Компиляция модуля расширения

nuitka --mode=module some_module.py

Создает some_module.so (Unix) или some_module.pyd (Windows).

⏺️Управление включением модулей

#включение конкретного модуля
nuitka --include-module=requests script.py

#включение всего пакета
nuitka --include-package=PyQt6 script.py

#исключение модулей
nuitka --nofollow-import-to=*.tests script.py

⏺️Работа с данными и ресурсами

#включение файлов данных пакета
nuitka --include-package-data=package_name script.py

#включение конкретных файлов
nuitka --include-data-files=/path/to/config.json=config.json script.py

#включение целой директории
nuitka --include-data-dir=./data=data script.py

⏺️Базовая компиляция с зависимостями

nuitka --mode=standalone --follow-imports --output-dir=./dist myapp.py

⏺️Компиляция веб-приложения Flask

nuitka --mode=onefile \
  --follow-imports \
  --include-package-data=flask \
  --include-package-data=jinja2 \
  --include-data-dir=./templates=templates \
  --include-data-dir=./static=static \
  app.py

⏺️Компиляция GUI-приложения на PyQt

nuitka --mode=standalone \
  --follow-imports \
  --include-package=PyQt6 \
  --windows-icon-from-ico=icon.ico \
  --windows-disable-console \
  main.py

⏺️Компиляция с расширенной информацией для отладки

nuitka --mode=standalone \
  --follow-imports \
  --verbose \
  --report=report.xml \
  --show-modules \
  script.py

⏺️Оптимизация с профилированием (PGO)

nuitka --mode=standalone \
  --follow-imports \
  --pgo \
  --pgo-args="--test-option" \
  script.py

⏺️Компиляция с использованием zig компилятора

nuitka --mode=standalone --zig --follow-imports script.py

⏺️Создание детального отчета

nuitka --mode=standalone --follow-imports --report=build_report.xml script.py

🎇Ограничения и требования
- Для Python 3.4 требуется дополнительный Python 2 или 3.5+ для SCons
- На Windows MinGW64 не работает с Python 3.13+
- Автономные сборки требуют копирования всей директории .dist
- Однофайловые сборки распаковываются во временную директорию при запуске

#Nuitka #Python #tool #CPython

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Информресурсы РКН и Минобороны подверглись DDoS-атаке

Информресурсы Роскомнадзора и Минобороны РФ подверглись DDoS-атаке, атакующие серверы расположены преимущественно в России, а также США, Китае, Великобритании и Нидерландах, атака продолжается в Роскомнадзоре.
27 февраля 2026 года в 09:11 Центр мониторинга и управления сетью связи общего пользования зафиксировал начало DDoS-атаки на информационные ресурсы Роскомнадзора, Министерства обороны РФ и инфраструктуру ФГУП "ГРЧЦ"

Как уточнили в ведомстве, мощность атаки достигала 33 Гбит/с, а скорость - до 36,9 миллиона пакетов в секунду
Ранее, днем в пятницу, перестал работать сайт Роскомнадзора: при попытке входа на сайт с Wi-Fi или мобильного интернета браузер выдавал ошибку.

Источник: https://ria.ru/20260227/roskomnadzor-2077243855.html

#news #roskomnadzor #russia #internet #runet

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🪧 Миллионы Android-смартфонов с чипами MediaTek могут быть взломаны за 45 секунд

Исследователи обнаружили серьёзную уязвимость в смартфонах на базе чипов MediaTek, которая позволяет извлекать данные из устройства всего за 45 секунд.

Проблему выявила исследовательская команда Donjon компании Ledger — производителя аппаратных криптокошельков. По словам технического директора Ledger Шарля Гийме, атака позволяет получить доступ к данным даже когда телефон выключен.

❓ Как работает атака
Эксплойт использует уязвимость в цепочке безопасной загрузки (secure boot chain) процессоров MediaTek.

В нормальной ситуации этот механизм проверяет целостность системы ещё до запуска Android. Но исследователи нашли способ обойти эту защиту.

Сценарий атаки выглядит так:
1️⃣ злоумышленник получает физический доступ к смартфону
2️⃣ подключает устройство к компьютеру через USB
3️⃣ извлекает криптографические ключи до загрузки Android
4️⃣ расшифровывает хранилище телефона

После этого можно получить доступ практически ко всем данным устройства.

🔑 Что можно украсть
В ходе демонстрации исследователи смогли:
📉 восстановить PIN-код телефона
📉 расшифровать внутреннюю память
🖱 извлечь seed-фразы криптокошельков

Среди затронутых приложений оказались:
📉 Trust Wallet
📉 Kraken Wallet
📉 Phantom
📉 Rabby
🖱 Tangem

Причём всё это происходило без запуска Android.

Помимо криптокошельков под угрозой могут оказаться:
▶️ фотографии
▶️ сообщения
▶️ сохранённые пароли
▶️ финансовые данные и аккаунты.

💻 Сколько устройств под угрозой
По оценкам исследователей, уязвимость может затронуть миллионы Android-смартфонов, поскольку MediaTek занимает огромную долю рынка мобильных чипов.

Такие процессоры используются в устройствах многих брендов, включая:
⏺️ Samsung
⏺️ Xiaomi
⏺️ OPPO
⏺️ Vivo
⏺️ Realme
⏺️ Motorola

В качестве демонстрации взлом был проведён на смартфоне Nothing CMF Phone 1 — устройство удалось скомпрометировать примерно за 45 секунд.

❗️ Производитель уже выпустил исправление
После уведомления от исследователей MediaTek выпустила исправление и передала его производителям устройств 5 января 2026 года.

Однако пользователи получат защиту только после установки обновления прошивки, которое должно прийти от производителя смартфона.

#news #android #malware #exploit

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Специалисты из центра киберзащиты Ontinue обнаружили, что злоумышленники использовали Nezha — легитимный инструмент для мониторинга с открытым исходным кодом, в качестве инструмента для удаленного доступа (RAT). Агент обеспечивает доступ к узлам на уровне SYSTEM/root и позволяет управлять системой через интерактивный веб-терминал.

☁️ Специалисты выяснили, что домен, на котором размещена панель управления всеми зараженными устройствами, находится на серверах Alibaba Cloud. Домен был привязан к адресу 47.79.42[.]91. По данным ресурса IPInfo, этот адрес привязан к Японии.

🎇 Nezha
nezha - инструмент для мониторинга серверов с открытым исходным кодом, изначально разработанный для китайского IT-сообщества. Системные администраторы используют его для мониторинга нескольких серверов, отслеживания использования ресурсов, получения оповещений и удалённого администрирования.

Nezha работает по простой модели «клиент-сервер». Центральный сервер панели управления отвечает за аутентификацию, хранит конфигурацию и координирует работу всех подключенных агентов.

Агенты — это легковесные двоичные файлы, развернутые на контролируемых хостах и поддерживающие постоянные gRPC-соединения с панелью управления.

Панель управления мультиплексирует HTTP-трафик и трафик gRPC на одном и том же порту. Веб-браузеры подключаются к интерфейсу панели управления по протоколу HTTP/WebSocket, а агенты — по протоколу gRPC для управления и контроля.

❗️Такая конструкция позволяет использовать один открытый порт как для интерфейса управления, так и для канала связи с агентами.

🪧 Возможности агента
Агент поддерживает определенный набор типов задач, каждый из которых обозначается числовой константой. Для злоумышленником представляют интерес следующие команды:
➡️Выполнение произвольной команды - ID: 4;
➡️Интерактивная терминальная сессия - ID: 8;
➡️Операции с файлами (просмотр, загрузка, скачивание, удаление) - ID: 11.

❓ Почему агент работает от имени пользователя root/SYSTEM
Агент разработан для работы от имени пользователя root (Linux) / SYSTEM (Windows), поскольку ему требуется расширенный доступ для:
▶️Чтения файловой системы /proc и системных показателей;
▶️просмотра сетевой статистики;
▶️управления процессами;
▶️применения системных конфигураций.

При запросе сеанса терминала агент запускает PTY (псевдотерминал), который наследует контекст процесса агента. Это означает, что если агент запущен от имени пользователя root, то и оболочка будет работать от имени root.

#news #nezha #RAT #hackers

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

💻 linux-exploit-suggester (LES)

Инструмент для поиска уязвимостей локального повышения привилегий в ОС Linux. Предназначен для выявления уязвимостей в системе безопасности на базе ядра Linux (доступных для локальной эксплуатации).

Оценивает с помощью эвристических методов уязвимость Linux к общеизвестным эксплойтам для повышения привилегий.

LES может проверить большинство параметров безопасности, доступных в ядре Linux. Он проверяет не только конфигурации ядра, заданные при компиляции (CONFIGs), но и параметры, заданные во время выполнения (sysctl), что дает более полное представление об уровне безопасности работающего ядра.

↗️ Установка в одну команду:

wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh -O les.sh

🔎Принцип работы инструмента
Процесс создания списка потенциальных эксплойтов выглядит следующим образом:

1️⃣Генерация первоначального списка эксплойтов на основе версии ядра (анализирует вывод команды uname для определения точной установленной версии ядра и сравнивает ее с требованиями, предъявляемыми к эксплойту, например Reqs: pkg=linux-kernel,ver>=4.4,ver<=4.13,....);

2️⃣Проверка соответствия тегов для каждого эксплойта (Теги — это простые утверждения, описывающие версии ядра, на которых, как известно, работает данный эксплойт);

3️⃣Фильтрация неприменимых эксплойтов с помощью дополнительных проверок (при добавлении эксплойта в инструмент можно указать дополнительные условия, которым он должен соответствовать);

4️⃣Расчет внутренней метрики "рейтинга" для каждого потенциального эксплойта и упорядочивание списка на основе этого расчета

Кроме того, для каждого эксплойта рассчитывается степень "Воздействия". Возможны следующие варианты:
▶️Высокая вероятность — скорее всего, уязвимо ядро, и есть большая вероятность, что PoC-эксплойт будет работать без каких-либо серьезных изменений.
▶️Вероятно — возможно, эксплойт сработает, но, скорее всего, потребуется его доработка в соответствии с вашей целью.
▶️Менее вероятно — необходим дополнительный ручной анализ, чтобы проверить, затронуто ли ядро.
▶️Маловероятно — крайне маловероятно, что ядро затронуто (эксплойт не отображается в результатах работы инструмента).

💻Использование
Базовый сценарий использования оценки Linux-сервера к общеизвестным эксплойтам.

./linux-exploit-suggester.sh

Проверка включена ли какая-либо дополнительная мера защиты ядра, не предусмотренная по умолчанию.

./linux-exploit-suggester.sh --checksec

Проверка уязвимостей в Linux с помощью заданного списка CVE.

./linux-exploit-suggester.sh --cvelist-file <cve-listing-file>

#tools #Linux #LPE

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Как понять, какое направление в ИБ стоит сейчас рассматривать?

Мы создали навигатор по профессиям и направлениям в ИБ, который определит варианты развития в зависимости от вашей текущей ситуации, и покажет открытые курсы Академии.

👉👉👉 Пройти навигатор можно за 30 секунд по ссылке

Читать полностью…

Rapid7 Labs провела исследовательский проект по поиску уязвимостей нулевого дня в телефонах Grandstream GXP1600 серии Voice over Internet Protocol (VoIP).

VoIP-телефония (Voice over Internet Protocol) используется в крупных организациях для организации корпоративной телефонии. Технология позволяет передавать голосовые сообщения через интернет, в отличие от традиционной телефонии, использующей аналоговые сигналы и телефонные линии.

В результате исследования была обнаружена критическая уязвимость, связанная с переполнением буфера в стеке без аутентификации, CVE-2026-2329. Удаленный злоумышленник может использовать CVE-2026-2329 для удаленного выполнения кода (RCE) без аутентификации с правами суперпользователя на целевом устройстве.

❗️ Уязвимость присутствует в веб-сервисе API устройства и доступна в конфигурации по умолчанию. Поскольку все модели серии GXP1600 имеют общую прошивку, уязвимость затрагивает все шесть моделей этой серии: GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 и GXP1630.

👉 Метрики

Базовая оценка: 9.8 (Критический)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

💵 Последствия
1️⃣Для демонстрации последствий был разработан модуль эксплойта Metasploit. Он показывает, как злоумышленник без аутентификации может воспользоваться этой уязвимостью, чтобы получить права суперпользователя на уязвимом устройстве.

2️⃣Также был разработан дополнительный модуль для постэксплуатации. Это позволяет злоумышленнику получить учетные данные, такие как данные локальных пользователей и учетные записи SIP, хранящиеся на взломанном устройстве GXP1600.

3️⃣Кроме того, злоумышленник может перенастроить целевое устройство для использования вредоносного SIP-прокси, что позволит злоумышленнику беспрепятственно перехватывать телефонные звонки на устройстве и с него, а также прослушивать аудио.

🛡Рекомендации
Обновить прошивку устройств до версии 1.0.7.81 в соответствие с рекомендациями производителя.

#news #CVE #VoIP #infrastructure

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

☕️ Krakatau — инструмент для реверса и анализа Java-байткода

Krakatau — это open source-набор инструментов для анализа, дизассемблирования и декомпиляции Java-байткода. Утилита позволяет разбирать .class и .jar-файлы, исследовать структуру байткода и выполнять глубокий реверс Java-приложений.

Инструмент часто используется в reverse engineering, malware-анализе и security-исследованиях Java-ПО, где необходимо понять логику работы программы на уровне JVM-инструкций.


📐 Основные возможности Krakatau
📉 Дизассемблирование Java-байткода — преобразует .class-файлы в читаемый assembly-подобный формат JVM.
📉 Декомпиляция в Java-код — позволяет восстановить исходную логику программы из байткода.
📉 Ассемблер для JVM-байткода — можно модифицировать и пересобирать .class-файлы.
📉 Работа с JAR-архивами — поддерживает анализ и извлечение байткода из .jar.
📉 Подходит для malware-анализа — удобен для исследования обфусцированных Java-приложений.


⬇️ Установка
Krakatau v2 написан на Rust, поэтому сначала нужно установить Rust toolchain.

git clone https://github.com/Storyyeller/Krakatau.git
cd Krakatau
cargo build --release

После сборки бинарник появится в:

target/release/krak2

⏺️Его можно добавить в PATH или запускать напрямую.


💻 Базовый сценарий использования

1️⃣ Дизассемблирование .class-файла:

krak2 dis --out out_dir Example.class

2️⃣ Дизассемблирование .jar-архива:

krak2 dis --out disassembled.zip app.jar

3️⃣ Сборка .class из .j-файла:

krak2 asm --out Foo.class Foo.j

4️⃣ Сборка .jar из набора .j файлов:

krak2 asm --out modified.jar source_dir/

#reverse #java #malware #security #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Девушки в истории ИБ

Кибербезопасность, криптография и вычислительная техника развивались благодаря множеству выдающихся людей. Среди них — женщины, чьи исследования и открытия сильно повлияли на развитие информационной безопасности.

Разберём несколько ярких примеров.

➡️Ада Лавлейс - Ada Lovelace считается первым программистом в истории.
⏺️Работала с проектом механического компьютера Charles Babbage
⏺️Написала первый алгоритм для аналитической машины
⏺️Предсказала возможность использования компьютеров для работы с музыкой и графикой
⏺️Описала принципы программирования задолго до появления реальных компьютеров

Её работы стали фундаментом для развития программирования и вычислительных систем.

➡️Джоан Кларк — британский криптоаналитик и одна из ключевых фигур взлома немецких шифров во время Второй мировой войны.
⏺️Работала в криптоаналитическом центре Bletchley Park
⏺️Входила в команду Alan Turing
⏺️Участвовала в анализе шифровальной машины Enigma machine
⏺️Помогла разработать методы поиска ключей для расшифровки сообщений

Работа команды Блетчли-парка позволила значительно ускорить окончание Второй мировой войны.

➡️Париса Табриз — известный исследователь безопасности и руководитель безопасности браузера.
⏺️Работает в компании Google
⏺️Руководит безопасностью браузера Google Chrome
⏺️Известна внутри компании как “Security Princess”
⏺️Развивает программы bug bounty и защиту браузера от уязвимостей

Благодаря её команде Chrome считается одним из самых безопасных браузеров.

➡️Шафи Голдвассер — один из крупнейших специалистов в современной криптографии.
⏺️Лауреат Turing Award
⏺️Соавтор концепции Zero-knowledge proof
⏺️Работала профессором в MIT и Институте Вейцмана
⏺️Её исследования легли в основу современных криптографических протоколов

Её работы используются в системах аутентификации, блокчейне и защищённых вычислениях.

#8марта #криптография #праздник

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🎇 В Packagist обнаружены вредоносные Laravel-пакеты, распространяющие RAT для Windows, macOS и Linux

Исследователи обнаружили вредоносные PHP-пакеты в репозитории Packagist, которые маскируются под вспомогательные библиотеки для Laravel. На самом деле они устанавливают кроссплатформенный троян удалённого доступа (RAT), способный работать на Windows, macOS и Linux.

Атака относится к классу supply chain attacks — злоумышленники распространяют вредоносный код через зависимости, которые разработчики устанавливают в свои проекты.

❗️ Вредоносные пакеты
Специалисты обнаружили следующие подозрительные пакеты:
▶️nhattuanbl/lara-helper
▶️nhattuanbl/simple-queue
▶️nhattuanbl/lara-swagger

Количество загрузок у них было небольшим, однако они всё равно представляют серьёзную угрозу для разработчиков и серверов, где используются.

Особенность атаки в том, что пакет lara-swagger не содержит вредоносный код напрямую — вместо этого он добавляет зависимость lara-helper, которая уже устанавливает RAT. Такой подход усложняет обнаружение угрозы.


❓Как работает вредоносный код
🔔 В пакетах lara-helper и simple-queue исследователи нашли PHP-файл:

src/helper.php

🔔 Вредоносный код использует несколько техник, чтобы затруднить анализ:
⏺️обфускацию потока управления
⏺️кодирование доменных имён
⏺️скрытие команд и путей
⏺️рандомизацию имён функций и переменных

Это значительно усложняет статический анализ и поиск вредоносной логики.

🕸 Подключение к серверу управления (C2)

После загрузки вредоносный код устанавливает соединение с сервером управления:
helper.leuleu[.]net:2096

Далее заражённая система отправляет информацию о системе и начинает ждать команды оператора. Это фактически даёт злоумышленнику полный удалённый доступ к машине.

Связь происходит по TCP через PHP-функцию:
stream_socket_client()

Благодаря этому вредоносный код остаётся работоспособным даже в средах с жёсткой конфигурацией безопасности PHP.

#rat #attack #laravel #windows #linux

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

MAX следит за пользователями VPN?

🎇Пользователь runetfreedom на ресурсе Habr провел реверс-инжиниринг клиента российского мессенджера MAX (версия 26.4.3) и подтвердил, что приложение содержит модуль для слежки за использованием VPN и доступностью заблокированных ресурсов.

В ходе анализа трафика через mitmproxy и декомпиляции APK было установлено следующее:
1️⃣Приложение использует бинарный протокол (заголовок 10 байт + данные в формате MessagePack), который сложно декодировать стандартными средствами. Трафик замешивается с основными данными мессенджера, что делает невозможной его блокировку без отключения самого MAX.
2️⃣При сворачивании или разворачивании приложения на серверы api.oneme.ru уходит пакет со следующим содержимым:
- Список целей (main.telegram.org, mmg.whatsapp.net, gosuslugi.ru, gstatic.com, mtalk.google.com и другие)
- Результаты проверки (доступность хостов по ICMP (ping) и TCP-порту 443 (HTTPS). Это позволяет определить, заблокирован ли ресурс на уровне ТСПУ)
- IP-адрес устройства (запросы к списку сервисов (как российских, так и зарубежных) для определения реального IP)
- Статус VPN (флаг, показывающий, активно ли VPN-подключение на устройстве (через нативный Android API))
- Данные оператора (PLMN-код (MCC + MNC), позволяющий определить страну и оператора связи)
3️⃣Модуль включается и отключается сервером удаленно. При логине или обновлении сессии приходит конфигурация с флагом host-reachability, что позволяет активировать слежку точечно — для конкретных аккаунтов или групп.

🔎Выводы из исследования
▶️Модуль был разработан намеренно, это не случайный аналитический SDK
▶️ Методология проверки (ping + TCP:443) напрямую указывает на цель — мониторинг эффективности блокировок
▶️ Смешивание шпионского трафика с основным делает невозможным его отсечение без отключения всего мессенджера
▶️Сбор IP через микс российских и зарубежных сервисов помогает выявлять пользователей, которые не заворачивают весь трафик в VPN
▶️Возможность дистанционного включения функции для отдельных пользователей превращает приложение в инструмент тотальной слежки

❗️Автор исследования рекомендует:
▶️Удалить приложение
▶️Если удалить невозможно — установить его в изолированное рабочее пространство (Samsung Knox, Второе пространство на Xiaomi, Shelter на чистых Android). Такие среды обычно не наследуют VPN основного профиля
▶️Заблокировать на файерволе сервисы определения IP, которые использует приложение
▶️Рассказать другим — даже если пользователю нечего скрывать, такие инструменты лишают доступа к части интернета и бытового комфорта

❗️Официальный ответ MAX
В пресс-службе MAX заявили Habr, что приложение не отправляет запросы на серверы WhatsApp* и Telegram. Разработчики опубликовали детальные пояснения:
1️⃣IP-адреса нужны только для звонков (технология WebRTC требует внешний IP для построения прямого P2P-маршрута «телефон-телефон». Это стандарт для всех сервисов с подобными звонками)
2️⃣Запросы к Apple и Google необходимы для проверки доставки push-уведомлений в сложных сетевых условиях и при ограничениях связи в регионах
3️⃣MAX не отправляет запросы на серверы WhatsApp* и Telegram

В компании подчеркнули: решения направлены исключительно на качество звонков и уведомлений. К персональным данным, VPN и другим сервисам они не имеют отношения.

✉️Официальные пояснения не объясняют факты, вскрытые реверс-инжинирингом:
▶️Зачем для звонков проверять gosuslugi.ru и другие сторонние сайты?
▶️Почему кроме TCP:443 проверяется ICMP (ping) — классический метод тестирования блокировок в обход ТСПУ?
▶️Зачем безобидную информацию передавать в закрытом бинарном протоколе, замешивая с основным трафиком?
▶️Почему модуль управляется удаленно через серверный флаг host-reachability, включаясь точечно для отдельных аккаунтов?

Ответ разработчиков не закрывает эти вопросы. Выводы каждый делает сам.

*Принадлежит Meta, признанной экстремистской и запрещенной в РФ

#MAX #news #VPN #Habr

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

BloodyAD: Фреймворк для повышения привилегий в Active Directory

BloodyAD — инструмент, выполняющий специализированные LDAP-запросы к контроллеру домена. Поддерживает аутентификацию с использованием паролей в открытом виде, Pass-the-Hash, Pass-the-Ticket и сертификатов, обеспечивая гибкие возможности для тестирования безопасности AD-инфраструктур.

👉BloodyAD предоставляет возможность выполнять привилегированные операции через LDAP-протокол. Инструмент отличается следующими характеристиками:
▶️множество методов аутентификации (NTLM (пароль/хеш), Kerberos, сертификаты (Schannel, PKINIT))
▶️прозрачная работа через SOCKS-прокси
▶️поддержка LDAPS и шифрования
▶️интеграция с DNS-функциями Active Directory
▶️гибкая система команд для управления объектами AD

⬇️Установка

pipx install bloodyad

Проверка

bloodyad -h

⏺️Аутентификация с паролем (NTLM)

bloodyAD --host 192.168.1.10 -d bloody.local -u john.doe -p 'Password123!' get object user john.doe

⏺️Pass-the-Hash аутентификация

bloodyAD --host dc01.corp.local -d corp.local -u administrator -p :70016778cb0524c799ac25b439bd6a31 get group "Domain Admins"

⏺️Смена пароля пользователя

bloodyAD --host 172.16.1.15 -d bloody.local -u admin -p 'Admin123!' set password john.doe 'NewP@ssw0rd!'

⏺️Получение информации о пользователе

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get object user administrator --json

⏺️Добавление пользователя в группу

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add groupmember "Domain Admins" john.doe

⏺️Удаление пользователя из группы

bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' remove groupmember "Domain Admins" john.doe

⏺️Shadow Credentials (атака на основе сертификатов)

#добавление теневых учетных данных для пользователя
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' add shadowCredentials john.doe

#получение хеша из теневых учетных данных
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' get shadowCredentials john.doe

⏺️Изменение атрибутов безопасности

#добавление GenericAll права для пользователя на объект
bloodyAD --host dc.corp.local -d corp.local -u admin -p 'Admin123!' set genericall john.doe "CN=AdminSDHolder,CN=System,DC=corp,DC=local"

⏺️Поиск объектов с заданными атрибутами

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(&(objectClass=user)(adminCount=1))"

⏺️Получение всех пользователей с непередаваемыми учетными записями

bloodyAD --host dc.corp.local -d corp.local -u user -p 'Password' get search "(userAccountControl:1.2.840.113556.1.4.803:=8192)"

🎇Ограничения и требования
- Для выполнения привилегированных операций требуются соответствующие права в AD
- Необходим доступ к портам LDAP (389/636) и, при необходимости, к Kerberos (88)
- Поддерживаются современные версии Python 3
- Кроссплатформенный инструмент (Windows, Linux, macOS)

#ActiveDirectory #AD #LDAP #BloodyAD #tool #pentest

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Certipy: Инструмент для аудита и эксплуатации служб сертификации Active Directory

Certipy — инструмент для перечисления, анализа и эксплуатации уязвимостей служб сертификации Active Directory (AD CS). Разработан для профессионального тестирования на проникновение и защиты инфраструктур, поддерживает полный спектр известных атак (ESC1–ESC16) и предоставляет возможности для обнаружения, запроса, подделки сертификатов и ретрансляции аутентификации.

🎇Certipy предназначен как для наступательных, так и для защитных задач, связанных с Active Directory Certificate Services. Инструмент обеспечивает комплексный подход к оценке безопасности PKI-инфраструктуры Windows. Функции:
▶️поиск центров сертификации (CA) и шаблонов сертификатов
▶️автоматическое выявление misconfigurations (ESC1–ESC16)
▶️создание сертификатов с заданными атрибутами
▶️использование сертификатов для получения доступа
▶️перехват и перенаправление NTLM-аутентификации на HTTP(S)/RPC-эндпоинты AD CS

⬇️Установка

pipx install certipy-ad

Проверка

certipy-ad -h

⏺️Перечисление AD CS (find)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10

⏺️Сохранение результатов (флаг -output)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -output results

⏺️Поиск уязвимостей (флаг -vulnerable)

certipy-ad find -u user@domain.local -p 'Password123!' -dc-ip 192.168.1.10 -vulnerable

⏺️Запрос сертификата (req)

certipy-ad req -u user@domain.local -p 'Password123!' -ca 'CA-SERVER' -template 'User'

⏺️Аутентификация по сертификату (auth)

certipy-ad auth -pfx user.pfx -dc-ip 192.168.1.10

⏺️Управление сертификатами (cert)

certipy-ad cert -pfx user.pfx -password 'Password123!' -export

⏺️Shadow Credentials атака (shadow)

certipy-ad shadow -u user@domain.local -p 'Password123!' -target 'computer$' -dc-ip 192.168.1.10

⏺️Ретрансляция NTLM (relay)

certipy-ad relay -ca 192.168.1.10 -template 'DomainController'

⏺️Справка по конкретной команде

certipy-ad find -h

👉Ограничения
- для эксплуатации многих уязвимостей требуются базовые права доменного пользователя
- необходим доступ к LDAP (389/636), RPC (135/445) и HTTP(S) (80/443) портам CA
- зависимости (impacket, ldap3, pyopenssl, asn1crypto и другие библиотеки)

#ActiveDirectory #AD #LDAP #Certipy #tool #pentest #ADCS

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🔁 LazyDLLSideload

Инструмент на языке Rust для создания DLL библиотек, использующихся при проведении работ по тестированию на проникновение. Автоматически анализирует таблицы экспорта PE и генерирует готовые к компиляции библиотеки на Rust со встроенной полезной нагрузкой.

🪧 Теория
DLL Sideloading - техника из матрицы MITRE ATT&CK, которая означает загрузка сторонних DLL-библиотек (T1574.001).

Злоумышленники могут выполнять свои собственные вредоносные программы путем дополнительной загрузки библиотек DLL. Дополнительная загрузка включает в себя перехват библиотеки DLL, которую загружает программа, путем установки и последующего вызова легитимного приложения, которое выполняет их полезную нагрузку.

Злоумышленники могут многократно загружать дополнительные библиотеки DLL, чтобы фрагментировать функциональность, препятствующую анализу. Злоумышленники, использующие несколько библиотек DLL, могут распределить функции загрузки по разным библиотекам DLL, при этом основная библиотека DLL загружает отдельные функции экспорта.

Инструмент поддерживает два режима работы:
1️⃣Загрузка сторонних DLL-библиотек.
В режиме Sideload создается DLL, которая заменяет исходную и выполняет вашу полезную нагрузку при вызове определенной экспортируемой функции. Исходная DLL не используется.

./LazyDLLSideload.exe -m sideload -p <path_to_dll> -e <export_to_hijack>

2️⃣Прокси режим.
В режиме прокси создается DLL, которая:
▶️переадресовывает все вызовы функций в исходную (переименованную) DLL;
▶️перехватывает (подменяет) одну конкретную функцию для выполнения вашего кода;
▶️сохраняет полную функциональность исходной DLL.

# Relative path mode
./LazyDLLSideload.exe -m proxy -p <path_to_dll> -e <export_to_hijack> -n <renamed_dll>

# Absolute path mode
./LazyDLLSideload.exe -m proxy -p <absolute_path_to_dll> -e <export_to_hijack>

💻 Флаги
-m, --mode - выбор режима sideload или proxy;
-p, --path - путь к целевой библиотеке DLL;
-e, --export - имя экспортируемой функции для перехвата;
-n, --name - исходное имя DLL после переименования.

#tools #rust #dll

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

Друзья, напоминаем, на каких курсах начинается обучение в марте🚗

Старт 2 марта:
⏺️Курс «Компьютерные сети» — учимся проектировать архитектуру сетей разной сложности. Настраиваем сетевое оборудование.
⏺️Курс «Реагирование на компьютерные инциденты» — стартуем с основ обнаружения вредоносного ПО и защиты от фишинговых атак. Учимся реагировать на сетевое вторжение.
⏺️Курс «Антифрод-аналитик» — научитесь выявлять мошенничество, анализировать данные и применять Python для защиты бизнеса от финансовых потерь. Запись на первый поток с выгодой до 18%

Старт 16 марта:
⏺️Курс «Организация защиты информации на объектах КИИ» — изучаем нормативно-правовые требования.
⏺️Курс «Основы DevOps» — разберем основные практики методологии автоматизации технологических процессов разработки ПО.
⏺️Курс «Пентест Active Directory»— изучаем техники и методики атак на инфраструктуру Active Directoryв лаборатории на 30+ виртуальных машин

Старт 30 ноября:
⏺️Курс «Python для Пентестера» — научимся писать софт на Python под собственные нужды и редактировать чужой код.

➡️Запишитесь у нашего менеджера @CodebyAcademyBot 🚀или узнайте подробности на сайте!

Читать полностью…

📜Тайны «Механики Зла» - 4 гравюры, 4 киберугрозы. Сможете их распознать?

Делитесь своими догадками в комментариях!💫

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Читать полностью…

🚩 Новые задания на платформе HackerLab!

🎢 Категория Разное — МОЯ ЖИЗНЬ

🧰 Категория PWN — Дом с привидениями
——————————————

🗂 В архив добавлены задания + райтапы:

🔵Разное - Isolated
🔵Веб - Flag checker

Приятного хакинга!

Читать полностью…