eUICC (embedded Universal Integrated Circuit Card) — это чип, позволяет загружать eSIM-профили. Работает через проприетарный софт — LPA (Local Profile Assistant) встроен в прошивку.

OpenEUICC (AOSP/открытый стек)
Что это:
Open-source реализация eUICC-сервиса и LPA-интерфейса. Позволяет устанавливать eSIM-профили вручную (в формате .pic, .puk, .eSIM и пр.)

Нафига? Дает больше контроля: разрешает установку профилей offline, поддержка операторов, не сертифицированных производителем и тд.

Полезно, если юзаете прошивку в которой по умолчанию используется com.google.android.euicc, который заморожен в ванильных (NoGapps) сборках.

https://github.com/hzy132/OpenEUICC_for_Magisk

👨‍💻 Учебное пособие по tcpdump с примерами.

• Иметь в своём арсенале такой сниффер как tcpdump это весьма круто, а уметь им пользоваться ещё и весьма полезно. Для изучения данного инструмента, предлагаю ознакомиться с полезным материалом:

- Различия tcpdump и Wireshark;
- Сетевые интерфейсы для захвата данных;
- Справочная информация по всем фильтрам tcpdump;
- Фильтрация IPv6 трафика;
- Настройка вывода tcpdump;
- Формат выводимых данных;
- Комбинирование фильтров tcpdump;
- Захват трафика беспроводных сетей;
- Практические примеры использования tcpdump;
- Ограничение количества захваченных сетевых данных;
- Сохранение сетевых пакетов в файл. Анализ файла с сетевыми пакетами;
- Фильтрация Ethernet трафика и протоколов локальной сети (ARP, фильтрация по MAC адресам);
- Фильтры IP протокола: фильтрация трафика определённых IP, диапазонов IP адресов и подсетей в tcpdump;
- Фильтры транспортных протоколов TCP и UDP в tcpdump (фильтрация по номеру порта, диапазонам портов);

#tcpdump #Сети

⭐️🚀 Пройдите вступительный тест и получите доступ к бесплатным урокам курса "Administrator Linux. Professional".

👉 Пройти тест: https://otus.pw/dk5Y/

Хотите стать экспертом в администрировании Linux? У нас для вас отличная новость!
Представьте, как вы:
- Освоите настройку и управление сетевыми сервисами на Linux.
- Научитесь автоматизировать задачи с помощью Ansible.
- Сможете эффективно управлять дисковыми подсистемами и файловыми системами.
- Настроите и будете администрировать веб-серверы (Nginx, Apache) и базы данных (MySQL, PostgreSQL).
- Повысите уровень безопасности своих серверов с помощью SELinux и брандмауэров.
- Получите навыки мониторинга и логирования с использованием Prometheus и Zabbix.

Наш курс включает в себя все необходимые знания и практические задания, чтобы вы стали настоящим профессионалом.

❗️После успешного прохождения теста вам будут доступны уроки на лендинге курса, и скидка на обучение "Administrator Linux. Professional".

👉 Пройти тест https://otus.pw/dk5Y/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Исследователи Symantec в новом отчете сообщают о новой кампании китайской APT Lotus Panda, нацеленной на ряд компаний в неназванной стране Юго-Восточной Азии в период с августа 2024 года по февраль 2025 года.

Целями атак стали: министерство, организация управления воздушным движением, оператор связи и строительная компания.

Атаки включали использование новых специальных инструментов, включая загрузчики, стилеры и SSH-утилита.

Кроме того, одной из целей атаки выступало информационное агентство, расположенное в другой стране Юго-Восточной Азии, и организация, занимающаяся авиаперевозками, расположенная в другом соседнем государстве.

По оценкам ИБ-подразделения Broadcom, кластер угроз является продолжением кампании, о которой исследователи сообщали еще в декабре 2024 года как о широкомасштабном кластере атак в Юго-Восточной Азии, проводившихся по крайней мере с октября 2023 года.

В свою очередь, в прошлом месяце Cisco Talos связала Lotus Panda с атаками, нацеленными на правительственный, производственный, телекоммуникационный и медийный секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване, с помощью бэкдора, известного как Sagerunex.

Сама Lotus Panda (Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip) имеет богатый опыт организации кибератак в отношении правительственных и военных организаций в этом регионе.

Группа действует с 2009 года, но впервые оказалась в центре внимания в июне 2015 года, когда Palo Alto приписала ей кампанию целевого фишинга с использованием уязвимости Microsoft Office (CVE-2012-0158) для распространения бэкдора Elise (Trensil), предназначенного для выполнения команд и операций с файлами.

В последующих атаках APT задействовала уязвимость Microsoft Windows OLE (CVE-2014-6332) с помощью вредоносного вложения в фишинговом письме, нацеливаясь на сотрудников МИД Франции на Тайване, для развертывания еще одного трояна, связанного с Elise, с условным названием Emissary.

В последней волне атак, наблюдаемых Symantec, злоумышленники использовали легитимные исполняемые файлы Trend Micro (tmdbglog.exe) и Bitdefender (bds.exe) для загрузки вредоносных DLL, которые использовались в качестве загрузчиков для расшифровки и запуска полезной нагрузки следующего этапа, встроенной в локально сохраненный файл.

Двоичный файл Bitdefender также использовался для загрузки другой DLL, хотя точная природа файла неясна.

Другим неизвестным аспектом кампании является начальный вектор доступа.

Атаки проложили путь обновленной версии Sagerunex, инструмента, используемого исключительно Lotus Panda.

Он обладает возможностями сбора информации о целевом хосте, ее шифрования и передачи на внешний сервер злоумышленника.

В атаках также задействованы инструмент обратного SSH и два стилера ChromeKatz и CredentialKatz, которые способны перехватывать пароли и файлы cookie, хранящиеся в браузере Google Chrome.

Злоумышленники также разворачивали общедоступный инструмент Zrok, используя функцию совместного использования инструмента для предоставления удаленного доступа к службам, которые были раскрыты внутри.

Помимо этого в атаках применял и другой легитимный инструмент под названием datechanger.exe, который способен изменять временные метки файлов, предположительно, чтобы запутать аналитиков при расследовании инцидента.

Обновленные индикаторы компрометации - в отчете.

📦 Firejail. Linux namespaces and seccomp-bpf sandbox.

• Firejail — гибкий и мощный инструмент изоляции, который не просто контролирует доступ к файловой системе, а полностью отрезает приложение от основной системы с помощью механизма Linux Namespaces.

• Запущенное в песочнице Firejail приложение имеет доступ только к заранее определенным файлам и функциям системы. Например, можно запретить приложению доступ ко всем файлам, кроме собственных конфигов, открыть некоторые файлы только на чтение или только на запись, запретить поднимать свои привилегии до root, запретить подключаться к определенным портам, запретить небезопасные системные вызовы и т.д. Подробное описание этого инструмента, ты можешь найти по ссылкам ниже:

• Оф. сайт проекта: https://firejail.wordpress.com/
• Загрузка и установка: https://firejail.wordpress.com/download-2/
• Особенности: https://firejail.wordpress.com/features-3/
• Документация: https://firejail.wordpress.com/documentation-2/
• FAQ: https://github.com/netblue30/firejail/wiki/Frequently-Asked-Questions
• Wiki: https://github.com/netblue30/firejail/wiki
• GitLab-CI: https://gitlab.com/Firejail/firejail_ci/pipelines/
• Видеоматериал: https://odysee.com/@netblue30:9?order=new

#Linux #Песочница

🎬 F6 опубликовала исследование о теневой инфраструктуре онлайн-пиратства в России

Пока одни блокируют витринные сайты, другие — строят скрытые сети.Команда F6 проанализировала рынок нелегального видеоконтента и раскрыла, кто стоит за его масштабным распространением в Рунете.

📌 До 90% пиратского видео в сети проходит через 12 CDN-балансеров — именно они обеспечивают работу онлайн-кинотеатров, помогают обходить блокировки и зарабатывать на in-stream рекламе.

📥 В новом отчете вы найдете:
— Рейтинг самых популярных CDN у российских пиратов
— Механизмы масштабирования, хостинг и обход блокировок
— Статистику: 12,5 млн удаленных пиратских материалов за 2024 год
— Географию серверов (Нидерланды, США, Украина и др.)
— Анализ рекламных моделей и способов монетизации
— Цифровые угрозы для обычных пользователей пиратских сайтов
— Рекомендации по борьбе с инфраструктурой, а не только с сайтами

📊 Основано на анализе 1400+ сайтов и 4400 доменов

🔗 Скачайте отчет бесплатно по ссылке

#реклама
О рекламодателе

👨‍💻 Изучаем сети. Полезные статьи и шпаргалки.

• В продолжении подборки, в которой опубликованы курсы и другой полезный материал, делимся необходимым дополнительным материалом, с подсказками и статьями:

Статьи:
- Сетевые модели, часть 1. Эталонная сетевая модель OSI;
- Сетевые модели, часть 2. Сетевая модель TCP/IP или DOD;
- Сетевые модели, часть 3. Инкапсуляция, декапсуляция, данные, пакеты, фреймы, биты;
- Сетевые устройства. Различие роутера от маршрутизатора, от моста, от коммутатора;
- Работа сетевых устройств, отражение работ на сетевой эталонной модели OSI;
- Системы счисления, преобразование систем счисления, примеры перевода систем счисления;
- Типы передачи данных.. Unicast, Multicast, Broadcast, multicast...
- Cisco формула расчёта сетей. Формула сетей и хостов;
- OSI - это просто. Модель OSI простым языком;
- Компоненты сети (вычислительной, компьютерной, локальной);
- Конечные устройства (end devices), промежуточные устройства (intermediary devices);
- Cреды передачи (media), программные средства (сервисы и процессы).

Шпаргалки:
- Деление сети на подсети (PDF и HTML). Пример деления сети;
- Шпаргалки для деления сети Часть 1;
- Шпаргалки для деления сети Часть 2;
- Пример деления сети на подсети графическим способом методом квадратов (PDF и HTML);
- Отличный VLSM калькулятор, с помощью которого Вы без проблем разделите любую сеть на подсети с маской переменной длины;
- Шпаргалка Минимальная базовая настройка маршрутизатора специально для выполнения лабораторных работ и практики (практических заданий) cisco CCNA и ICND;
- Назначение IP-адресов на интерфейсы маршрутизатора;
- Статическая маршрутизация;
- Динамическая маршрутизация. Протокол RIP;
- Таблица сетевых масок, префиксы маски. Короткая запись маски. Шпаргалка.

#Сети

‼ ALARM: CHARMING KITTEN АТАКУЕТ!

На обновленном онлайн-полигоне Standoff Defend для команд защиты уже сейчас началась регулируемая атака, достоверно воспроизводящая техники, тактики и инструменты APT-группировки Charming Kitten.

💡 Переходите на сайт марафона и расследуйте атаку! Если зашли в тупик — воспользуйтесь подсказками.

🚀 Для участия не нужна предварительная подготовка — начните расследование прямо сейчас и проверьте свои навыки!

⏰ А 25 апреля в 11:00 (мск) ждем всех на разборе атаки с ментором. Он пройдет прямом эфире на сайте марафона, регистрируйтесь уже сейчас!

Готовы к вызову? Подробности — на сайте марафона!

🖥 TCP\UDP port numbers.

#Cheatsheet

🎫 Бинарные перфокарты (первый код).

• Двоичное кодирование появилось задолго до компьютеров. Базиль Бушон считается первым, кто проделал отверстия в бумаге и использовал её для управления машиной: в 1725 году он изобрел ткацкий станок, который ткал узоры на основе инструкций, содержащихся в перфорированной бумаге. Отверстие — это «единица», а отсутствие отверстия — это «ноль». Как бы многое ни изменилось с тех пор, основной «строительный блок» кода остался прежним.

#Разное

Представители Vx-underground решили потрепать нервишки разрабам Bubble io, платформы для создания функциональных приложений на основе ИИ без необходимости написания кода, угрожая слить 0-day эксплойт для обнаруженной критической баги.

Дело в том, что в 2024 году два исследователя обнаружили критическую уязвимость в решении, о чем незамедлительно уведомили поставщика, однако по какой-то причине отчет остался без внимания.

Впоследствии они даже выступали с докладом по уязвимости, опубликовали PoC и даже написали статью, но и после этого достучаться до поставщика не удалось.

Так что клиентов Bubble, в числе которых Danone, SeaGate, Unity, Shopify, Paramount Pictures, HubSpot, Amazon, PWC, Yamaha, L'Oreal, да и саму компанию, ожидают увлекательные выходные, судя по описанию уязвимости.

Но будем посмотреть.

👨‍💻 DevOps и Поиск Работы в IT.

• Как написать Резюме, что писать если нету опыта? Как пройти HR, что отвечать и что НЕ говорить? Дурацкие вопросы HR. Как пройти Техническое интервью и что говорить если НЕ знаешь ответ. Что не забыть спросить и когда послать интервьювера? Как поднять свой Job Offer и не только лишь денежно. Поиск работы DevOps и IT в целом, в Канаде, США и Израиле. Как стать DevOps Инженером с Нуля, что учить и в каком порядке? Junior, Middle, Senior Девопс Инженер - Настоящие Примеры Задач.

• Собеседование в IT - Часть 1 - Как написать Резюме, что писать если нету опыта;
• Собеседование в IT - Часть 2 - Как пройти HR, Что отвечать и что НЕ Говорить. Дурацкие вопросы HR;
• Собеседование в IT - Часть 3 - Как пройти Техническое интервью и что говорить если НЕ знаешь ответ;
• Собеседование в IT - Часть 4 - Что не забыть спросить и Когда послать интервьювера;
• Собеседование в IT - Часть 5 - Как поднять свой Job Offer и не только лишь денежно;
• Поиск работы DevOps и IT в целом, в Канаде, США и Израиле;
• Как стать DevOps Инженером с Нуля, что учить и в каком порядке;
• Junior, Middle, Senior Девопс Инженер - Настоящие Примеры Задач;
• Чем пользуется DevOps Инженер на Работе: Tools, Software, Hardware;
• DevOps Т-1000: как стать незаменимым специалистом - Подкаст;
• PaaS SaaS IaaS - Что это такое и в чём разница - За 5 Минут - Вопросы с Интервью DevOps;
• RPO и RTO - Что это такое и в чём разница - За 5 Минут - Вопросы с Интервью SysAdmin DevOps.

#DevOps #Работа

«Лаборатория Касперского» выпустила вторую бета-версию Kaspersky NGFW, в которой усилили сетевую функциональность, функции безопасности и значительно увеличили производительность - до 180 Гбит/с.

Про развитие решения, интеграцию с Kaspersky Anti Targeted Attack, XDR-сценарии и AI-powered антивирус эксперты расскажут 22 апреля в 11.00 на стриме "Kaspersky NGFW. Новые возможности"

Регистрируйтесь, чтобы узнать все подробности!

Более 16 000 устройств Fortinet, подключенных к Интернету, оказались скомпрометированными с помощью нового бэкдора с символической ссылкой, который обеспечивает хакерам доступ с правами только для чтения к конфиденциальным файлам.

Неутешительную статистику представили исследователи The Shadowserver Foundation после того, как на прошлой неделе Fortinet предупреждала о клиентов об обнаружении нового механизма для сохранения удаленного доступа к файлам в корневой системе пропатченных устройств FortiGate, которые ранее были скомпрометированы.

По данным Fortinet, наблюдаемая кампания не связана с эксплуатацией новых уязвимостей, а является следствием атак, состоявшихся в период с 2023 по 2024 гг., когда злоумышленник применял 0-day для взлома устройств FortiOS.

Получив доступ к устройствам, атакующие создали символические ссылки в папке языковых файлов на корневую файловую систему устройств с включенным SSL-VPN.

Поскольку языковые файлы общедоступны на устройствах FortiGate с включенным SSL-VPN, злоумышленник может перейти в эту папку и получить постоянный доступ на чтение к корневой файловой системе (с конфигурациями) даже после устранения первоначальных уязвимостей.

Причем Fortinet начала уведомлять клиентов в частном порядке по электронной почте об устройствах FortiGate, детектированных FortiGuard в качестве скомпрометированных с помощью этого бэкдора с символической ссылкой.

Fortinet выпустила обновленную сигнатуру AV/IPS, которая позволяет обнаружить и удалить вредоносную символическую ссылку со скомпрометированных устройств.

Последняя версия прошивки также была оснащена таким функционалом. Обновление также предотвращает обслуживание неизвестных файлов и папок встроенным веб-сервером.

Наконец, если устройство было обнаружено как скомпрометированное, вполне возможно, что злоумышленники имели доступ к последним файлам конфигурации, включая учетные данные.

Поэтому все учетные данные следует сбросить, а администраторам следует выполнить остальные шаги, описанные в этом руководстве.

🐥 Linux с двойным дном.

• В этой статье ты узнаешь как сделать так, чтобы твоя линуксовая тачка выглядела невинной игрушкой, но при вводе нескольких команд превращалась в настоящую боевую единицу.

• На самом деле, тема достаточно интересная и безусловно полезная для людей, которых интересует анонимность и безопасность своих данных.

➡️ https://habr.com/ru/articles/749830/

#Linux #Анонимность #Безопасность

ASM в действии: как защитить внешние сервисы от атак

23 апреля | Онлайн-курс с экспертом по пентесту в F6

Внешние сервисы — одна из главных целей киберпреступников. Как их находят хакеры? Какие уязвимости они используют? Как не стать следующей жертвой?

На этом курсе вы научитесь:
— Распознавать уязвимые внешние сервисы
— Понимать техники атак на RDP, SSH, базы данных, почтовые и веб-сервер
— Применять эффективные меры защиты: от 2FA до Zero Trust
— Работать с инструментами ASM и автоматизировать защиту цифрового периметра

Программа включает:
🟣 Часто атакуемые сервисы и методы компрометации
🟣 "Дорогие" ошибки конфигурации
🟣 Реальные кейсы атак: RDP-доступ и SQL-инъекции
🟣 Практику: от поиска уязвимостей до их устранения

👀Кому будет полезно:
— Специалистам по ИБ и аналитикам SOC/CERT
— DevOps, системным администраторам
— Разработчикам, работающим с внешними API и веб-приложениями
— Всем, кто отвечает за кибербезопасность и устойчивость инфраструктуры

❗️Успейте зарегистрироваться❗️

#реклама
О рекламодателе

👨‍💻 Компьютерные сети.

• Общие сведения:
- Классификация сетей;
- Топологии компьютерных сетей;
- Стандарты компьютерных сетей;
- Основы организации компьютерных сетей;
- Модель OSI;
- Модель и стек протоколов TCP/IP;
- Анализатор сети Wireshark.

• Физический уровень;
• Канальный уровень;
• Сетевой уровень;
• Транспортный уровень;
• Прикладной уровень.

• Защищенные сетевые протоколы:
- Протоколы TLS/SSL;
- Шифрование в TLS/SSL;
- Целостность данных в TLS/SSL;
- Инфраструктура открытых ключей в TLS/SSL;
- Протокол TLS;
- Установка соединения в TLS;
- Анализируем протокол TLS в Wireshark;
- Расшифровка TLS в WireShark;
- Протокол TLS 1.3;
- Протокол TLS 1.3 в WireShark;
- Протокол HTTPS;
- Протокол HTTPS в WireShark.

• Продвинутые темы:
- Протокол IPv6;
- Адреса IPv6;
- Автоматическое назначение IPv6 адресов;
- Протокол NDP;
- Протоколы маршрутизации;
- Протокол RIP;
- Протокол OSPF;
- Иерархическая маршрутизация;
- Протокол BGP;
- Web сокеты.

#Сети #RU

Исследователи Dr.Web сообщают о масштабной атаке на цепочки поставок ПО различных китайских производителей Android-смарфтонов, связанную с внедрением троянизированных приложений WhatsApp и Telegram, нацеленных на пользователей криптовалют с помощью клиппера.

Несмотря на то, что тему не новая, исследователи Dr.Web отмечают серьезную эскалацию, когда мошеннические приложения внедряются непосредственно в составе предустановленного на телефоне ПО.

Большинство скомпрометированных устройств являются бюджетными копиями известных премиальных моделей Samsung и Huawei, включая S23 Ultra, S24 Ultra, Note 13 Pro и P70 Ultra.

По крайней мере четыре из затронутых моделей производятся под брендом SHOWJI.

Злоумышленники использовали приложение для визуального улучшения технических характеристик, отображаемых на странице «Об устройстве», а также утилиты для получения информации об оборудовании и софте, такие как AIDA64 и CPU-Z, создавая у пользователей ложное впечатление, что телефоны работают под управлением Android 14 и имеют улучшенное аппаратное обеспечение.

Вредоносные приложения Android созданы с использованием проекта с открытым исходным кодом LSPatch, который позволяет трояну, получившему название Shibai, внедряться в легитимное ПО.

По оценкам специалистов, в общей сложности около 40 различных приложений, таких как мессенджеры и сканеры QR-кодов, были модифицированы таким образом.

В изученных Dr.Web артефактах, приложение перехватывает процесс обновления приложения для получения APK-файла с подконтрольного злоумышленнику сервера, ищет строки в чатах, которые соответствуют шаблонам адресов криптокошельков Ethereum или Tron.

При нахождении итаковых, заменяются мошенническими адресами для перенаправления транзакций.

Помимо подмены адресов, вредоносная ПО также оснащена возможностями сбора информации об устройстве, переписки в WhatsApp, а также изображений .jpg, .png и .jpeg из папок DCIM, Pictures, Alarms, Downloads, Documents и Screenshots.

Данный функционал обеспечивает сканирование сохраненных файлов на предмет детектирования фраз для восстановления кошелька (т.н. мнемонических фраз), что позволит злоумышленникам получить доступ к кошелькам жертв и слить активы.

Неясно, кто стоит за этой кампанией, однако установлено, что злоумышленники используют около 30 доменов для распространения вредоносных приложений и используют более 60 серверов C2 для управления операцией.

Дальнейший анализ почти двух десятков криптокошельков, используемых злоумышленниками, показал, что за последние два года они получили более 1,6 млн. долл., что свидетельствует о том, что кейс в принципе окупился с лихвой.

Как защитить IT-инфраструктуру компании от хакеров и утечек? 🔐
 
Под руководством опытных кураторов вы разберётесь в ключевых процессах мониторинга безопасности и научитесь внедрять их на практике

✔️ Подробнее

Что ждёт на курсе?
✦ Threat Intelligence & Hunting — ищем угрозы
✦ Vulnerability & Patch Management — закрываем дыры быстрее хакеров
✦ Incident Response (IR) — отрабатываем атаки по шагам
✦ Администрирование СЗИ — настраиваем защиту как профи  

Что получите в итоге?
1. Готовые схемы защиты под разные бизнес-сценарии
2. Навыки, которые ценят в SOC, CERT и отделах безопасности
3. Сертификат

Старт — 17 апреля! Успейте записаться 

По всем вопросам пишите @Codeby_Academy

👩‍💻 Docker от Ивана Глазкова.

• Зачем оно нужно? Установка и первый запуск контейнера;
• Открываем порты для доступа в контейнер;
• Что такое слои в образе, как они получаются и как выглядят;
• Базовые принципы сборки образа;
• Volume и монтирование в контейнер;
• Multi Stage Build из исходников и ENV в dockerfile.

#RU #Docker

Как выстроить эффективную архитектуру мониторинга безопасности с SIEM?

Хотите научиться создавать систему, которая будет отслеживать, обрабатывать и хранить события безопасности из всех источников в вашей организации? Открытый вебинар 23 апреля в 20:00 мск — ваш первый шаг к построению надежной системы мониторинга с использованием SIEM.

Мы разберем, как оптимизировать сбор и хранение логов безопасности, как использовать встроенные средства логирования для Linux, Windows и облачных инфраструктур. Вы получите практические знания, которые помогут эффективно реагировать на угрозы в реальном времени и обеспечивать безопасность ваших IT-систем.

Урок будет полезен системным администраторам, инженерам по безопасности и IT-архитекторам.

Присоединяйтесь к вебинару и получите скидку на большое обучение «Специалист по внедрению SIEM».

👉 Зарегистрируйтесь по ссылке: https://otus.pw/n4GD/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

 Rapid7 раскрывает PoC для RCE-уязвимости в устройствах Connect Secure VPN компании Ivanti после известного скандала с «тихим» патчем.

Причем, как стало известно, CVE-2025-22457 уже активно использовалась китайской APT, нацеленной на взлом периферийных сетевых устройств, а публикация кода эксплойта произошла менее чем через неделю после того, как исследователи Mandiant выявили факт эксплуатации.

Хотя проблема была исправлена еще в феврале, Ivanti ошибочно диагностировала ее как «ошибку продукта» (непригодную для RCE) и не присвоила идентификатор CVE с общедоступной документацией.

Только после отчета Mandiant выпустила рекомендацию с о всеми подробностями.

В свою очередь, исследователи Rapid7 предупреждают, что злоумышленники могут использовать несколько тщательно созданных HTTP-заголовков, чтобы превратить уязвимость из обычного сбоя в полномасштабное удаленное выполнение кода.

Согласно анализу Rapid7, уязвимость возникает из-за неконтролируемого переполнения буфера в компоненте веб-сервера HTTP(S) программного обеспечения Ivanti Connect Secure.

Исследователи отследили уязвимость до функции, которая обрабатывает заголовок «X-Forwarded-For», и, манипулируя длиной значения заголовка, они смогли вызвать переполнение, которое перезаписывает ключевые части стека. 

Как они отмечают, это важное напоминание о том, что APT активно занимаются обратной разработкой исправлений поставщиков для высококлассных целей и способны выявлять скрытно исправленные (или иным образом не разглашаемые) уязвимости.

Так, Rapid7 потребовалось всего 4 рабочих дня, чтобы перейти от первоначального сбоя к RCE, а у продвинутых групп есть и время, и ресурсы для для разработки тонких и сложных эксплойтов в отношении высокопоставленных целей.

Уязвимость, имеющая оценку серьезности CVSS 9/10, затрагивает Ivanti Connect Secure версий 22.7R2.5 и более ранние, а также Pulse Connect Secure 9.x, поддержка которой прекращена.

Помимо Ivanti Connect Secure, Ivanti планирует выпустить исправления для Policy Secure и ZTA Gateways.

Хотя исправление Policy Secure запланировано к выпуску 21 апреля, а обновление ZTA Gateways - 19 апреля, ни одна из платформ пока не была атакована. 

Клиентам Ivanti настоятельно рекомендуется безотлагательно обновиться до версии Connect Secure 22.7R2.6 и отказаться от неподдерживаемых устройств Pulse Connect Secure.

Rapid7 присоединилась к Ivanti, рекомендуя организациям проверять устройства на предмет сбоев веб-серверов, которые могут служить полезным указанием на попытку эксплуатации.

Это связано с тем, что эксплойт, вместо подходящей утечки информации для взлома ASLR, должен полагаться на подбор адреса общей библиотеки объектов в процессе веб-сервера, каждая неудачная попытка угадать правильный адрес приведет к сбою и последующему перезапуску.

🔑 Methods for Stealing Passwords in Browser.

#blue_team #red_team #hack

📝 Подборка шпаргалок для DevOps, инженеров, ИБ и ИТ-специалистов.

• Jenkins;
• Kubernetes;
• Nmap;
• PostgreSQL;
• Powershell;
• ajax;
• ansible;
• awk;
• aws cost;
• aws services;
• cheatsheet python grok;
• cron;
• curl;
• docker security;
• docker;
• find;
• github;
• go;
• grep;
• kubectl;
• linux bash terminal;
• linux bash;
• linux networing tools;
• linux commands;
• netcat;
• nginx;
• ngrep;
• openssl;
• puppet;
• redis;
• regex;
• rsync;
• sed;
• slack;
• ssh;
• tar;
• terraform;
• vim;
• wireshark;
• xargs.

➡️ https://github.com/sk3pp3r/cheat-sheet-pdf/tree/master/pdf

#CheatSheet

👨‍💻 О UEFI.

• Статья сфокусирована на объяснении понятий и принципов, а также важных и интересных возможностях UEFI.

• О UEFI;
• BIOS;
• (U)EFI;
• Совместимость;
• ESP раздел;
• MBR и GPT;
• Что нужно для того что бы ОС грузилась через BIOS?
• Что нужно для установки ОС, что бы она грузилась через UEFI?
• Менеджер загрузки UEFI;
• Secure Boot;
• Ключи системы Secure Boot;
• Собственные ключи;
• Как Ubuntu загружается в режиме Secure Boot;
• Другие интересные возможности UEFI;
• UEFI Shell;
• Загрузка ядра Linux непосредственно из UEFI;
• Полезные утилиты для UEFI;
• :) Патч Бармина живе всех живых;
• Ссылки.

#UEFI #RU

Так выглядит 4,5 мегабайта данных, собранных в стопки из 62500 перфокарт. На одну перфокарту можно записать только 80 символов.

А теперь представьте, сколько перфокарт нужно для записи 1 гигабайта данных? Если рассчитать вес полученного кол-ва, то он составит всего 22 тонны.

#Разное

Карты весом 100Кб.

Шучу. Но... нет, не шучу. Само приложение весит даже меньше, но кэша подтянет как взрослое.

Прога являет собой web-обертку под WebView, тем самым избавляет от необходимости устанавливать гугловские карты в их естественном виде. В остальном - полноценные Google Maps.

https://f-droid.org/packages/us.spotco.maps/

Мошенники придумали новую схему в преддверии майских праздников и сезона отпусков. 

Они размещают короткие ролики в YouTube Shorts, TikTok и других соцсетях, предлагая выгодно снять квартиру или дом. Для бронирования присылают ссылку на фишинговый ресурс. Внимание мошенников обращено прежде всего на популярные курорты на Черноморском и Балтийском побережьях.
 
Читайте подробности!

#реклама
О рекламодателе

JTAG debug of Windows Hyper-V / Secure Kernel with WinDbg and DCI/EXDI

https://www.youtube.com/watch?v=YKFXWsVRL1w&list=PLcwesr-0gPLozUKhGOiiACc4LZ2rTLhBh&index=9

⏺Встречайте нового главреда Cyber Media — Кирилла Каримова

Кирилл много лет писал про ИТ и кибербезопасность для ведущих федеральных СМИ, информагентств и отраслевых медиа, а до прихода в Cyber Media руководил пресс-службой ИТ-Комитета Государственной Думы.

💬 Вот что он говорит о новом этапе:

Рад присоединиться к команде Cyber Media в такой важный для отрасли период. Уверен, что тот высокий темп, который был взят проектом, будет только нарастать. Нам есть о чем рассказать, наш контент востребован у аудитории, а последняя растет год от года. Интерес к кибербезопасности давно вышел за пределы отрасли. Сегодня эту тему обсуждают не только в профессиональной среде ИБ, но и на всех уровнях общества — от граждан, которые хотят себя защитить от кибермошенников, до государства, ставящего в приоритет задачу укрепить информационную безопасности страны на фоне растущего массива кибератак.

👩‍💻 Windows PowerShell 5. Часть 2.

• Вторая часть мини-курса, которая описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10.

• Расширенные возможности выражения switch;
• Командлет ForEach-Object;
• Командлет Where-Object;
• Основы функций;
• Параметры функций;
• Настройка параметров функций;
• Переключатели функций;
• Получение значений из функций;
• Использование функций в конвейере;
• Определение функций в сессии;
• Область действия переменных в функциях;
• Скрипты;
• Передача аргументов скриптам;
• Выход из скриптов;
• Область действия переменных в скриптах;
• Управление скриптами;
• Продвинутые функции и скрипты;
• Атрибут CmdletBinding в функциях и скриптах;
• Атрибут OutputType в функциях и скриптах;
• Атрибуты параметров в функциях и скриптах;
• Псевдонимы параметров в функциях и скриптах;
• Проверка параметров в функциях и скриптах;
• Динамические параметры в функциях и скриптах;
• Значение параметров по умолчанию;
• Документирование функций и скриптов;
• Основы модулей;
• Работа с модулями;
• Создание модулей скриптов.

#Курс #RU #Windows #PowerShell

Очередной поставщик ПО для обмена файлами, по всей видимости, отправил своих клиентов в объятия Clop (ну или их коллег).

Как сообщается, хакеры задействовали уязвимость в Gladinet CentreStack в качестве 0-day для взлома серверов хранения данных.

Gladinet CentreStack - это корпоративная платформа для обмена файлами, которая преобразует локальные файловые серверы (например, серверы Windows с общими ресурсами SMB) в безопасные облачные файловые системы с поддержкой удаленного доступа к внутренним общим файлам, многопользовательских развертываний и интеграцию с Active Directory.

Решение Gladinet используют тысячи компаний в 49 странах, включая предприятия с файловыми серверами на базе Windows, MSP, размещающие файловые сервисы для нескольких клиентов, а также организации, которым необходим доступ, аналогичный облачному, без миграции в облако.

Уязвимость отслеживается как CVE-2025-30406 и представляет собой проблему десериализации, затрагивающую версии Gladinet CentreStack до 16.1.10296.56315.

Эксплуатация в естественных условиях наблюдается как минимум с марта 2025 года.

Проблема обусловлена использованием жестко закодированного machineKey в конфигурации портала CentreStack (web.config).

Если злоумышленник заполучит ключ, то сможет создать вредоносную сериализованную полезную нагрузку, которую сервер будет выполнить.

Согласно рекомендациям поставщика, неправильно защищенный ключ защищает ASP.NET ViewState в случае подделки может позволить злоумышленникам обойти проверки целостности, внедрить произвольные сериализованные объекты и в конечном итоге выполнить код на сервере.

Gladinet выпустила исправление для CVE-2025-30406 3 апреля 2025 года с версиями 16.4.10315.56368, 16.3.4763.56357 (Windows) и 15.12.434 (macOS).

Поставщик рекомендует всем пользователям как можно скорее обновиться до последней версии или вручную поменять machineKey в root\web.config и portal\web.config.

Для клиентов, которые не могут оперативно накатить обновление, ротация значений machineKey является рекомендуемым временным решением.

При этом следует обеспечить согласованность между узлами в многосерверных развертываниях и перезапускать IIS после внесения изменений для применения мер по снижению рисков.

Несмотря на то, что пока упоминаний об участии банда вымогателей в новой делюге нет, специфика продукта все же указывает на атаки с целью кражи данных, как это было в случае Cleo, MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U и Accelion FTA.

Но будем посмотреть.

https://www.sentinelone.com/labs/akirabot-ai-powered-bot-bypasses-captchas-spams-websites-at-scale/

👩‍💻 Windows PowerShell 5. Часть 1.

• Мини-курс описывает и демонстрирует основы работы с оболочкой Windows PowerShell, на примере ее 5-ой версии в Windows 10.

• Введение в Windows PowerShell 5;
• Инструменты Windows PowerShell 5;
• Команды и командлеты;
• Получение справки;
• Основы синтаксиса;
• Кавычки, экранирование и комментарии;
• Дополнительные сведения о синтаксисе;
• Конвейерная обработка;
• Форматирование вывода;
• Типы данных;
• Строки;
• Числа;
• Словари и хеш-таблицы;
• Массивы и последовательности;
• Литеральные типы;
• Конвертация типов;
• Арифметические операторы;
• Операторы присваивания;
• Операторы сравнения;
• Операторы сравнения и коллекции;
• Операторы сравнения шаблона;
• Регулярные выражения;
• Операторы управления текстом;
• Логические и побитовые операторы;
• Методы Where() и ForEach();
• Операторы для работы с типами;
• Унарные операторы;
• Операторы группировки и подвыражения;
• Операторы массивов;
• Многомерные массивы;
• Операторы вызова свойств;
• Операторы вызова методов;
• Оператор форматирования;
• Операторы перенаправления;
• Переменные;
• Синтаксис имен переменных;
• Командлеты для работы c переменными;
• Сплаттинг переменных;
• Условное выражение (if);
• Циклы while и do;
• Цикл for;
• Цикл foreach;
• Выражения break и continue;
• Выражение switch;
• Сложные сравнения внутри switch.

#Курс #RU #Windows #PowerShell

🔒 ASM в действии: автоматизированная защита внешних сервисов 🔒

23 апреля | Онлайн-курс с Кириллом Федоренко, специалистом по тестированию на проникновение в F6

❓ Хотите узнать, как атакуют внешние сервисы и как их защитить? На этом курсе вы научитесь выявлять уязвимости, понимать тактику хакеров и применять эффективные меры защиты.

Что разберем?

⚡️ Какие сервисы чаще всего становятся мишенью атак

⚡️ Основные угрозы: брутфорс, уязвимости, ошибки конфигурации

⚡️ Как взламывают RDP, SSH, почтовые серверы и базы данных

⚡️ Реальные кейсы атак: проникновение через RDP и SQL-инъекции

⚡️ Методы защиты: закрытие портов, 2FA, контроль конфигурации

⚡️ Zero Trust и автоматизация защиты с Attack Surface Management

👨‍💻 Для кого курс?

✅ Специалисты по ИБ, SOC и CERT-аналитики

✅ DevOps-инженеры и системные администраторы

✅ Разработчики, работающие с веб-приложениями и API

✅ Все, кто отвечает за защиту внешнего периметра компании

📥 Регистрируйтесь сейчас: ASM в действии

📩 Остались вопросы? Пишите нам на education@f6.ru

#реклама
О рекламодателе

Исследователи Лаборатории Касперского раскрыли сложный инструмент, который APT ToddyCat пыталась задействовать для скрытого запуска в скомпрометированных системах.

Он использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, в которую злоумышленники внесли изменения, расширяющие ее функциональность.

Чтобы скрыть свою активность в зараженных системах, APT-группы прибегают к разным техникам обхода защиты.

Большинство из них хорошо известны и обнаруживаются как EPP-решениями, так и средствами мониторинга и реагирования на угрозы класса EDR.

Одним из вариантов в Windows-системах могут быть руткиты уровня ядра, в частности вредоносные драйверы, но в современных ОС они загружаются только при наличии цифровой подписи Microsoft.

Злоумышленники обходят этот защитный механизм при помощи легитимных драйверов, которые имеют такую подпись, но содержат уязвимые функции, позволяющие выполнять вредоносные действия в контексте ядра.

Средства мониторинга отслеживают такие манипуляции, однако в ToddyCat именно этим и решили воспользоваться, запустив свой инструмент в контексте защитного решения.

В рамках расследования инцидентов с ToddyCat исследователи в на начале прошлого года обнаружили во временной директории на нескольких устройствах 64-разрядную DLL-библиотеку с именем version.dll на C++, которая представляет собой комплексный инструмент под названием TCESB.

Он предназначен для скрытого выполнения полезной нагрузки в обход средств защиты и мониторинга, установленных на устройстве.

Статический анализ DLL-библиотеки показал, что что для запуска вредоносного кода злоумышленники используют технику проксирования DLL.

Вредоносная DLL экспортирует все функции легитимной DLL, но вместо их реализации перенаправляет вызовы этих функций в оригинальную DLL.

Таким образом, приложение, которое загружает вредоносную библиотеку, продолжит работать без сбоев, при этом в его контексте в фоновом режиме будет выполняться вредоносный код.

Отыскать файл, загружающий инструмент TCESB, удалось не сразу, но благодаря допущенной оператором ошибке исследователи вышли на компонент EPP решения ESET - сканер, запускаемый из командной строки (ESET Command line scanner).

Динамический анализ показал, что он небезопасно загружает системную библиотеку version.dll: сначала проверяет наличие файла в текущей директории, а затем ищет его в системных директориях, что может привести к загрузке вредоносной DLL-библиотеки.

По итогу после уведомления ESET найденной уязвимости был присвоен CVE-2024-11859, а 21 января 2025 года поставщик выпустил обновление, а 4 апреля информация была опубликована в рекомендациях по безопасности.

Изучая функционал TCESB исследователи провели анализ строк, находящихся в его DLL, который показал, что большинство из них принадлежат вредоносному инструменту с открытым исходным кодом EDRSandBlast.

На его основе злоумышленники из APT ToddyCat создали DLL TCESB.

Переработав код, они добились расширения функциональности, добавив возможности, помимо прочего, модификации структуры ядра ОС, чтобы отключить системные уведомления (notification routines).

Технический разбор инструментария и индикаторы компрометации - в отчете.

👩‍💻 Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell.

• Работа с объектами;
• Управление компьютерами;
• Управление процессами и службами;
• Управление дисками и файлами;
• Работа с выходными данными;
• Создание элементов пользовательского интерфейса.

➡️ https://learn.microsoft.com/

#PowerShell

👩‍💻 Курс Системного Администратора Linux для новичков.

• Курс предназначен для людей без опыта с Линукс. Информация подается детально, с объяснением всех технических нюансов.

• Вступление в курс по Системному Администрированию Линукс;
• Как установить Линукс/Linux;
• Базовые навыки и знакомство с консолью Линукс;
• Краткий обзор стандартных директорий Линукс;
• Базовые команды Линукс;
• Базовые команды Линукс, часть 2, текстовый редактор vi;
• Настройка ssh соединения к серверу, понятие айпи адреса;
• Пользователи и группы в Линукс;
• Права доступа в Линукс;
• Расширенные права доступа - SUID, SGID, Sticky bit;
• Работа с ACL;
• Установка и управление пакетами в CentOS;
• Стандартные потоки ввода/вывода в Linux;
• Установка веб-сервера Apache;
• Стадии инициализации системы в Linux.

#Linux

💻 Дисковая и файловая подсистемы.

• Диски в Linux: LVMRAID - Программный RAID-массив средствами LVM (Logical Volume Management);
• Диски в Linux: Перенос каталога /home на отдельный раздел/том LVM;
• Диски в Linux: Основы LVM - Logical Volume Management, Менеджер логических томов;
• Файловые системы в Linux: Квотирование в XFS;
• Хранение файлов в Linux: Индексные дескрипторы (inodes);
• Хранение файлов в Linux: Жесткие ссылки (hard links);
• Резервное сохранение в Linux: Использование утилит копирования;
• Резервное сохранение в Linux: Возможности жестких ссылок.

#Linux

👩‍💻 Работа с файловой системой Linux.

• 00:00 - Вступление;
• 01:30 - Структура файлов;
• 03:30 - Терминал;
• 03:40 - pwd;
• 04:50 - cd;
• 07:30 - ls;
• 09:31 - clear;
• 11:05 - mkdir;
• 12:06 - touch;
• 12:47 - man;
• 13:58 - nano;
• 14:02 - vi/vim;
• 15:41 - cat;
• 16:18 - less;
• 16:40 - more;
• 16:54 - head;
• 17:28 - tail;
• 17:46 - echo;
• 18:36 - rm;
• 19:36 - mv;
• 20:56 - cp;
• 23:30 - sudo;
• 24:24 - stat;
• 24:50 - Запуск исполняемых файлов;
• 25:30 - Текущий каталог(.);
• 26:10 - Заключение.

#Linux

Исследователи Group-IB сообщают об изумлениях в деятельности банды вымогателей Hunters International, которая проводит ребрендинг и переходит исключительно к тактике эксфильтрации.

Широко известная в киберподполье банда вымогателей Hunters International реализует с конца 2023 года собственную RaaS, адаптировав в свой арсенал и TTPs банды Hive после того, как последнюю развальцевали силовики в ходе международной операции в январе 2023 года.

Как выяснили исследователи, операторы, вовлеченные в схемы RaaS, тогда после ее ухода стали получать предложения от админов Hunters с тех же учетных записей, что и Hive.

В числе последних значимых достижении на счету банды - атака на крупную индийскую Tata Technologies.

Причем группировка продолжала действовать, несмотря на объявление 17 ноября 2024 года о закрытии из-за снижения рентабельности и нападками спецслужб.

На DLS в Tor группа разместила более 300 жертв, почти половина из которых - в Северной Америке. Хакеры также атаковали более 50 организаций в Европе и два десятка в Азии.

Основной фокус на - госсектор, недвижимость, здравоохранение, финансы и энергетику.

Партнерская панель Hunters позволяет операторам регистрировать жертву, настраивать вредоносное ПО и вести общение с жертвой.

Также предоставляет инструмент Storage Software, который собирает метаданные о файлах, украденных у жертвы, и отправляет их на серверы Hunters.

Партнеры могут установить сумму выкупа с панели, им предоставляется вредоносное ПО для шифрования файлов, совместимое с архитектурами x64, x86 и ARM и работающее на Windows и Linux.

Если жертва платит, оператор получает 80% от выручки.

Group-IB отмечает, что последняя версия программы-вымогателя больше не оставляет записку с требованием выкупа и не переименовывает зашифрованные файлы.

Начиная с августа 2024 года группа предпочитает напрямую связываться с руководством и ключевыми сотрудниками компании-жертвы, не раскрывая инцидент и повышая тем самым шансы на одобрение выплаты выкупа.

Hunters сотрудничает со сторонним подрядчиком, который оказывает им услуги OSINT для сбора информации о сотрудниках атакованной компании, которая затем используется для вымогательства.

На основании внутренних заметок операторов RaaS, исследователи пришли к выводу, что банда планирует отказаться от шифрования файлов, поскольку это становится слишком рискованным и не приносит соответствующей прибыли.

Начиная с января 2025 года они запустили новый проект под названием World Leaks.

Вместо проведения двойного вымогательства схема переориентирована на атаки, направленные исключительно на эксфильтрацию.

Операторам будет предоставляться инструмент для автоматизированной кражи данных (вероятно доработанный Storage Software), который будет полностью незаметен и сможет устанавливать сетевые соединения через прокси-сервер, например.

В Group-IB полагают, что большинство групп вымогателей, вероятно, перейдут к той же тактике в будущем, полагаясь исключительно на эксфильтрацию.

👨‍💻 Деление IP сети на подсети при помощи маски легко и быстро. Наглядный способ!

• Как выделить подсеть нужного размера из большой IP сети? Как быстро и наглядно вычислить все адреса компьютеров в нужной подсети, маску для подсети нужного размера, как найти первые и последние адреса формируемых подсетей? Как выделить несколько подсетей разного размера? В этом видео вы найдете ответы на эти вопросы.

➡ https://youtu.be/eKUQ0RPFO5M

#Сети

👩‍💻 Bash Cheat Sheet: Tips and Tricks for the Terminal.

• Our cheat sheet will help you efficiently navigate and control your system from the command line. From understanding file types and permissions to debugging, from controlling jobs to understanding regular expressions, this cheat sheet will have you covered.

➡️ https://www.stationx.net/bash-cheat-sheet/

• The information in this cheat sheet is valuable to casual Linux and Mac users, system administrators, information security professionals, and students preparing for a wide range of exams, from the LPIC to the OSCP and beyond.

#Bash #CheatSheet

#CISCO Cheat Sheet.

• Interior routing protocols;
• BGP;
• EIGRP;
• OSPF;
• RIP;
• IS-IS;
• Cisco IOS Versions;
• Common Ports TCP/UDP (Часто используемые порты);
• First Hop Redundancy;
• Frame Mode MPLS;
• IEEE 802.11 WLAN;
• IEEE 802.1X;
• IOS IPv4 Access Lists;
• IPv4 Multicast;
• IPv4 Subnetting;
• IPv6;
• NAT;
• IPsec;
• PPP;
• QoS;
• VOIP Basics;
• VLANs;
• Spanning Tree;
• IOS Zone-Based Firewall;
• Scapy;
• Tcpdump;
• Wireshark Display Fiters.

• VT.

#Cisco #CheatSheet

🔒 Хотите увидеть, как эффективно защищать IT-инфраструктуру в реальном времени?

Присоединяйтесь к открытому уроку по Wazuh — инструменту, который объединяет мониторинг безопасности, анализ угроз и автоматизацию защиты в одном решении.

Интересуетесь SIEM? Мы разберем ключевые возможности Wazuh:
— как он отслеживает угрозы и аномалии,
— как проводит инвентаризацию, корреляцию и анализ уязвимостей,
— как работает с логами Windows и Linux,
— как интегрируется с другими ИБ-инструментами.

Ответим на ваши вопросы и разберем кейсы использования.

👨‍💻 После вебинара вы:
— получите чёткое представление о возможностях Wazuh,
— узнаете, где он максимально эффективен,
— поймёте, как его использовать в своих проектах.

Для кого: архитекторы ИБ и SOC, инженеры SIEM, руководители ИБ-подразделений.

Когда: 8 апреля в 20:00 мск
Бонус: участникам — скидка на курс «Специалист по внедрению SIEM»

👉 Зарегистрируйтесь по ссылке: https://otus.pw/BURh/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

⚡ Это не шутка: разыгрываем Flipper Zero, годовую подписку на журнал "Хакер" и книги по этичному хакингу.

Условия очень просты:
🔶 Подписка на: infosec.
🔶 Подписка на: Kali Linux.
🔶 Нажать на кнопку «Участвовать»;
ВСЕ!

• 1 место: Flipper Zero.
• 2-5 место: годовая подписка на журнал "Хакер".
• 6-10 место: пак книг по этичному хакингу в бумажной версии:

- Сети глазами хакера;
- Искусственный интеллект глазами хакера;
- Веб-сервер глазами хакера. 4-е изд;
- Linux глазами хакера.


• Целых 10 (!) призовых мест, итоги подведем 15 апреля, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей. Доставка для победителей бесплатная в зоне действия СДЭК.

Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».

🦮 Bloodhound. Построение векторов атак.

• Одним из самых важных инструментов, который используется практически во всех внутренних тестированиях на проникновение, является BloodHound. Если говорить простым языком, то это инструмент для визуализации данных Active Directory, который помогает пентестерам эффективно определять пути атаки, чтобы получить контроль над доменом и лесом Windows Active Directory [#AD].

• По ссылками ниже, ты найдешь полезный обзор некоторых программных средств, использующихся для автоматизированного построения вероятных атак в домене. Кроме того, будут рассмотрены некоторые подходы к улучшению уже имеющихся решений и предложен определенный алгоритм к выявлению наиболее приоритетных целей атак:

• Улучшения Bloodhound;
- Пользовательские хранимые запросы;
- Добавление новых сущностей;
- Весовые коэффициенты;
- Многоуровневая архитектура безопасности;
- Объекты первоначального доступа;
- Рекомендации по противодействию BloodHound;

• Управление векторами атак;
- Значимые объекты.

➡️ Читать статью: https://ardent101.github.io/

#AD #Bloodhound

Ansible в действии: развернем кластер с Kuberspray и запустим AI-приложение 🚀

Приглашаем на бесплатный вебинар от Слёрма, на котором расскажем и покажем:

🔸 Как развернуть нейронную сеть в контейнере и сделать её доступной для всего мира?
🔸 Как быстро настроить кластер и управлять им?
🔸 Как Kubernetes управляет AI-приложениями?
🔸 Как Docker работает в Kubernetes?

🎁 Бонус: каждый зритель получит репозиторий для собственного Kubernetes-кластера с AI-приложением и полную инструкцию по развертыванию.

Дата: 9 апреля 19:00
Занять место — через бота 👈

erid: 2W5zFJkGRur

⚡ Это не шутка: разыгрываем Flipper Zero, годовую подписку на журнал "Хакер" и книги по этичному хакингу.

Условия очень просты:
🔶 Подписка на: infosec.
🔶 Подписка на: Kali Linux.
🔶 Нажать на кнопку «Участвовать»;
ВСЕ!

• 1 место: Flipper Zero.
• 2-5 место: годовая подписка на журнал "Хакер".
• 6-10 место: пак книг по этичному хакингу в бумажной версии:

- Сети глазами хакера;
- Искусственный интеллект глазами хакера;
- Веб-сервер глазами хакера. 4-е изд;
- Linux глазами хакера.


• Целых 10 (!) призовых мест, итоги подведем 15 апреля, в 18:30 по московскому времени, с помощью бота, который рандомно выберет победителей. Доставка для победителей бесплатная в зоне действия СДЭК.

Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».

• DevSecOps.

• DevSecOps. Общее погружение;
• DevOps на пальцах;
• SecOps. Защита кластера;
• DevSec. Встраивание ИБ в конвейер разработки;
• DevSecOps. Process edition;
• Что такое Audit Policy? Вебинар из цикла DevSecOps 2-й сезон;
• Зачем GitOps в Enterprise? Вебинар из цикла DevSecOps 2-й сезон;
• Управление секретами: основы;
• Persistent данные и резервное копирование в кластере;
• 8 Bad Pods: атаки на Kubernetes;
• Kubernetes в Enterprise: VMware Tanzu;
• Kubernetes в Enterprise. Обзор, проблематика, решения;
• DevOps – начало работы в кластере Kubernetes;
• DevOps в Enterprise. Tech Talks Юрий Семенюков на High Load ++ 2021;
• Как пережить сертификацию по Kubernetes. Личный опыт;

#DevSecOps #RU

Журналисты Bloomberg сообщают об инциденте в Oracle Health, связанном с кражей медицинских данных с серверов компании, который последовал сразу вслед за предполагаемой компрометацией Oracle Cloud с кражей данных аутентификации LDAP для 6 миллионов человек.

Новый обнаруженный взлом произошел в конце января, и теперь хакер под именем Эндрю вымогает у американских поставщиков медицинских услуг выкуп в миллионы долларов в криптовалюте за за предотвращение дальнейшей утечки.

Oracle Health пока публично не раскрывала информацию об инциденте, но в частных сообщениях пострадавшим клиентам и в разговорах с вовлеченными источниками подтвердила, что в результате атаки были украдены данные пациентов.

Oracle Health, ранее известная как Cerner, реализует SaaS в сфере здравоохранения, предлагая электронные медицинские записи (EHR) и BOS -системы для больниц и медорганизаций.

После приобретения Oracle в 2022 году Cerner была объединена с Oracle Health, а ее системы были интегрированы в Oracle Cloud.

В уведомлении для пострадавших клиентов Oracle Health сообщает, что 20 февраля 2025 года ей стало известно о неправомерном доступе к данным Cerner, которые находились на устаревшем сервере, еще не перенесенном в Oracle Cloud.

Злоумышленник использовал скомпрометированные клиентские креды для взлома серверов приблизительно после 22 января 2025 года и скопировал данные на удаленный сервер.

Слитые данные при этом «могли» включать информацию о пациентах из электронных медицинских карт.

Сама Oracle Health уведомила больницы о том, что не намерена информировать пациентов напрямую, перекладывая это бремя на администрации медучреждений, которым следует самостоятельно определять, нарушены ли требования HIPAA и стоит ли сообщать клиентам.

Пока что неизвестно, использовалась ли в ходе атаки программа-вымогатель или это была лишь кража данных, ведь подробности об атаке не разглашаются.

Вообще непонятно, как учетные данные клиента могли позволить украсть данные из нескольких организаций.

Более всего удивляет то, что Oracle так не сообщила ни об одной из утечек в SEC до настоящего времени.

🟢 Что такое свой NAS и как его начать делать?

• Современный и доступный NAS - понятие довольно растяжимое. Для чего он нужен - для дома или офиса, его размеры, мобильность, стоимость, программное обеспечение, все эти и другие вопросы так или иначе определяют конкретную модель и сферу применения. Рассмотрим то, что будет интересно всем - это системы хранения для дома или малых рабочих групп.

• Причем существуют не только ограничения по стоимости и локальной доступности, но также и простое желание собрать что-то своими руками. Мы постарались разобраться в ситуации, проанализировать существующие решения и, возможно, предложить свой вариант развития, который будет интересен и тем, кто хочет купить готовое решение, и тем, кто смотрит на NAS как на потенциальное устройство для самостоятельной сборки от железа до софта.

• https://habr.com/ru/post/713900/

#NAS

👨‍💻 Практические атаки на интерфейс USB.

• Через обычный USB-интерфейс можно делать необычные вещи. Мы разберем практические способы анализа USB-протоколов, железо и софт для отладки USB, а также специализированные инструменты для атак.

#badUSB

• Jenkins на русском языке.

• Автоматизация CI/CD - Полный Курс на Простом Языке;
• Установка на Linux Ubuntu;
• Администрирование Jenkins;
• Управление Plugins;
• Простейшие Jobs включая Deployment;
• Добавление Slave/Node;
• Удалённое и локальное управление черезCLI Client;
• Deployment из GitHub;
• Автоматизация запуска Build Job из GitHub -Build Triggers;
• Автоматизация запуска Build из GitHub -trigger from GitHub,webhook;
• Build с Параметрами;
• Deploy в AWS Elastic Beanstalk - Пример решения задания на интервью для DevOps Engineer;
• Запуск Groovy Script - Обнуление счетчикаBuild;
• ОсновыPipeline и Jenkinsfile.

#RU #Jenkins

👩‍💻 Всё, что нужно знать о Vim.

➡️ https://github.com/mhinz/vim-galore

#Vim

😎 Слежка, фишинг и утечки: насколько безопасны популярные браузеры

Браузер — не просто выход в интернет, это «окна», через которые мы работаем, общаемся, совершаем покупки и храним личные данные. Часто именно браузер — главный проводник между пользователем и цифровым миром, который имеет доступ ко всему: от банковских транзакций до конфиденциальной переписки.

Но чем больше взаимодействия, чем больше данных проходит через браузер, тем выше интерес злоумышленников к его уязвимостям.

За последние несколько лет атаки стали более сложными, и ИБ-эксперты разрабатывают в ответ новые способы и инструменты для защиты.

➡️ В новой статье на сайте рассмотрели, какие угрозы существуют, что можно сделать, чтобы повысить безопасность браузера и какие перспективы есть защиты браузеров, по мнению экспертов по информационной безопасности.

🔎 Fravia. Искусство поиска.

• Легендарный сборник материалов крэкера и искателя, известного в прошлом под ником +Fravia. Автора огромного сетевого ресурса о поисковом искусстве и сопутствующих навыках. Он был первым известным человеком, подошедшим к поиску именно как к искусству, человеком, создавшим школу сетевого поиска, описавшим эстетику и логику этого процесса на всех этапах и приспособившим его с помощью соратников к реальной жизни.

#OSINT #RU

Защищать данные — важный навык! Пройдите бесплатный курс Нетологии, чтобы изучить основы информационной безопасности, найти уязвимости в веб-сервисах и создать свой план развития.

Бесплатный курс Нетологии: информационная безопасность на практике. Найдите уязвимости веб-сервисов, настройте ОС для защиты данных и создайте план развития карьеры.

Реклама. ООО "Нетология". ИНН 7726464125 Erid 2VSb5xZyLYp

Telegram Mac RCE - 0Day
*
господам из opzero.ru подготовить счетные машинки
*
ШУМ

Китайская APT Weaver Ant более четырех лет бороздила просторы сети поставщика телекоммуникационных услуг, скрывая трафик и инфраструктуру с помощью скомпрометированных маршрутизаторов Zyxel CPE.

Напасть на след хакеров смогли исследователи Sygnia, которые обнаружили несколько вариантов бэкдора China Chopper и ранее не документированную пользовательскую веб-оболочку под названием INMemory, которая выполняет полезные нагрузки в памяти хоста.

По словам исследователей, после того, как злоумышленник нацелился на крупного азиатского телеком-оператора залочить его присутствие оказалось достаточно сложной задачей, несмотря на многочисленные попытки нейтрализации его активности.

Для вторжения Weaver Ant задействовала сеть операционных релейных блоков (ORB), состоящую в основном из маршрутизаторов Zyxel CPE, обеспечивая проксирование трафика и сокрытие инфраструктуры.

Злоумышленник закрепился в сети, используя зашифрованный с помощью AES вариант веб-шелла China Chopper, который позволял удаленно управлять серверами, обходя ограничения брандмауэра.

По мере развития операции Weaver Ant перешел к более продвинутой, специально разработанной веб-оболочке, известной как INMemory, которая использует DLL (eval.dll) для скрытого выполнения кода «точно в срок».

Как отмечают в Sygnia, методы извлечения данных также были подобраны APT таким образом, чтобы вызывать как можно меньше подозрений, включая пассивный захват сетевого трафика с помощью зеркалирования портов.

Вместо того чтобы развертывать веб-оболочки изолированно, Weaver Ant связал их вместе с помощью «туннелирования веб-оболочек», ранее впервые замеченной в атаках финансово мотивированной группы Elephant Beetle.

Метод подразумевает перенаправление HTTP-трафика с одного сервера на другой через отдельные сегменты сети, по сути создавая скрытую сеть C2 внутри инфраструктуры жертвы.

Каждая оболочка действует в качестве прокси-сервера, передавая вложенные и зашифрованные полезные данные другим оболочкам для поэтапного выполнения внутри сети.

Благодаря этому Weaver Ant мог работать на серверах из разных сегментов сети.

В основном это были внутренние серверы без подключения к Интернету, доступ к которым осуществлялся через те, которые были доступны через Интернет и выступающие в качестве операционных шлюзов.

Результаты исследования Sygnia показывают, что Weaver Ant продвигался горизонтально, используя общие ресурсы SMB и учетные записи с высокими привилегиями, которые годами имели один и тот же пароль, часто аутентифицированный с помощью хэшей NTLM.

За четыре года кибершпинажа хакеры выкрали файлы конфигурации, журналы доступа и учетные данные, позволяющие составить карту среды и выявить ценные системы.

Они отключали механизмы ведения журнала, включая исправление ETW (Event Tracing for Windows) и обходы AMSI (перезапись функции AmsiScanBuffer в модуле amsi.dll), чтобы уменьшить размер вредоносного ПО и оставаться незамеченными в течение более длительного времени.

Исследователи считают Weaver Ant опытной и профессиональной APT, способной реализовать долгосрочный доступ к сети жертвы для проведения операций по кибершпионажу.

Атрибуция была основана на использовании моделей маршрутизаторов Zyxel, популярных в ряде географических регионов, применении бэкдоров, ранее связанных с китайскими группами угроз, и временных интервалах работы Weaver Ant - рабочее время по Гринвичу +8.

При этом злоумышленник, по-видимому, фокусируется на сетевой разведке, сборе учетных данных и постоянном доступе к телекоммуникационной инфраструктуре, нежели на краже пользовательских или финансовых данных.

Привет, друзья!
Хотите узнать, как компании строят отказоустойчивые системы, автоматизируют процессы и внедряют DevOps-культуру без боли? Тогда вам на DevOpsConf 2025 – крупнейшую конференцию о DevOps и SRE в России!

В программе юбилейной 10ой DevOpsConf:
Лучшие практики управления в DevOps,
Reliability Engineering,
Системное и сетевое администрирование,
IT-безопасность,
Технологическая независимость,
MLOps и Data Engineering,
DevOps практики и культура,
Platform Engineering: строительство платформ крупными компаниями, Наблюдаемость и Operational intelligence,
Chaos engineering,
CTO/CIO трек, Org Engineering,
Тренды 2025: обзор новых фич и утилит.

Не пропустите доклады от лучших спикеров мира DevOps:
Антон Черноусов Yandex CloudInfrastructure from Code.Следующий этапразвития IaC
Даниил Кошелев (Т-Банк) «Постигая реестры Docker-контейнеров: от архитектуры до безопасности»
Данила Гудынин (Cloud.ru) «vGPU в K8s — как перестать считать видеокарты для контейнеров»
Полный список докладов и тем уже доступен на сайте: https://tglink.io/935546bf146d

Количество билетов ограничено – регистрируйся сейчас и будьте в центре DevOps-мира!

#реклама
О рекламодателе

😈 Атаки на Active Directory: от 0 до 0,9.

• Цель статьи — рассмотреть Active Directory с точки зрения злоумышленника. Чтобы понять, как атаковать Active Directory (и любую другую технологию), я думаю, важно знать не только инструменты, но и то, как они работают, какие протоколы/механизмы они используют и почему эти механизмы/протоколы существуют.

• Оригинал: https://zer1t0.gitlab.io/posts/attacking_ad/

#Пентест #AD #ИБ

Исследователи ESET сообщают о кампании под названием Operation FishMedley, в рамках которой APT FishMonger скомпрометировала семь организаций на Тайване, в Венгрии, Турции, Таиланде, США и Франции в 2022 году.

Под прицел хакеров тогда попали правительственные и неправительственные организации, а также аналитические центры.

Согласно отчету, наделавшая шуму I-Soon (Anxun Information Technology) - это частный подрядчик, связанный МОБ КНР, чьим оперативным подразделением является FishMonger (Earth Lusca, TAG-22, Aquatic Panda и Red Dev 10), реализующим кибероперации в национальных интересах с 2019 года.

После громкой утечки документов китайской компании в прошлом году США в начале марта предъявили обвинения десяти сотрудникам I-Soon с обвинениями во взломах в качестве «хакеров по найму».

По данным американских спецслужб, среди жертв значились сотрудники федеральных государственных ведомств США, включая Минфин, правозащитники, журналисты и китайские диссиденты.

ESET приписывает названные атаки FishMonger, которая действует под эгидой Winnti Group, вероятно, из Чэнду, Китай.

Исследователи теперь также вменили хакерам кампанию 2019 года в отношении университетов Гонконга.

Анализ вторжений 22 года показал, что злоумышленники имели привилегированный доступ в локальные сети жертв, проводили ручную разведку, используя Impacket для доставки имплантов и горизонтального перемещения, а также LSASS - для извлечения учетных данных.

Точный начальный вектор доступа, используемый в кампании, на данном этапе неизвестен.

Среди замеченных инструментов: загрузчик ScatterBee, бэкдоры ShadowPad, Spyder и SodaMaster, имплант RPipeCommander и различные утилиты для сканирования сети, извлечения паролей и кражи данных.

Причем APT10 была первой группой, получившей доступ к SodaMaster, но операция FishMedley указывает на то, что теперь его можно считать общим для нескольких APT, связанных с КНР.

Если ShadowPad, Spyder и SodaMaster были подробно описаны во многих предыдущих отчетах, то RPipeCommander - это недавно идентифицированная обратная оболочка на C++, которая использует несколько потоков и принимает три команды через именованный канал.

На их основе RPipeCommander может создать процесс командной строки и привязать к нему каналы для отправки команд, записать команду в существующий процесс CMD и выйти из процесса CMD. Он также способен читать вывод команд, написанных в CMD.

Однако, по данным ESET, изученный образец RPipeCommander представляет собой только серверный компонент, а второй, действующий как клиент, вероятно, - используется для отправки команд из другой системы в локальной сети.

Исследователи отмечают, что группа не стесняется повторно использовать известные имплантаты, такие как ShadowPad или SodaMaster, даже спустя долгое время после того, как они были публично описаны, уверенно заключая по итогу, что FishMonger - это команда, которая является частью китайской I‑SOON.

SuperHardio Brothers*. Зачем ИТ считать киберустойчивость при защите от злоумышленников

Команда экспертов по харденингу Positive Technologies поделится, как через математическое моделирование времени атак рассчитать метрики киберустойчивости и как с их помощью управлять доступностью ИТ-систем.

Обсудим:
- Устойчивость бизнеса, зачем нужна, как считать
- Приставка «кибер-»: почему традиционных мер IT DR не хватит для обеспечения киберустойчивости
- Как построить лабиринт для хакера: недопустимые события, business-critical системы, что делать, чтобы хакер не успел добежать до цели

Регистрируйтесь на вебинар 31 марта в 14:00 мск

* SuperHardio Вrothers — герои-эксперты харденинга

🗺 Защита корпоративных данных

Факт: каждая пятая компания сталкивается с утечкой данных через подрядчиков. По этому случаю нашёл для вас материал от экспертов Яндекс Браузера для организаций, посвященный киберзащите при работе с ними. Подойдёт и для тех, у кого много удалёнщиков с личными девайсами и аутсорсеров.

Внутри практические решения для создания доверенной среды на неконтролируемых устройствах.

#ИБ

🎒 Полевой набор пентестера.

• Хорошему пентестеру, как и настоящему рок-н-рольщику, нужно все и сразу. Так что применение зачастую находится спонтанно, и подходящий инструментарий под рукой никогда не бывает лишним.

• Что хранится в рюкзаке настоящего пентестера, какие инструменты он использует и как применяется данный инструмент на практике? Ответ на этот вопрос мы узнаем в очень интересной статье на хабре: https://habr.com/ru/post/664520/

#Пентест #Red_Team #RU #ИБ

👩‍💻 Kubernetes.

• Полезные уроки, которые помогут освоить K8s.

• Что такое Kubernetes? Запуск локального кластера Kubernetes. Minikube;
• Запуск Kubernetes кластера на AWS, используя eksctl;
• Запуск Kubernetes кластера на AWS, используя Terraform;
• Как использовать kubectl с несколькими Kubernetes кластерами;
• Как установить Kubernetes Dashboard;
• Создание объекта Pod. Запуск контейнеров в Kubernetes;
• Метки, аннотации и пространства имён в Kubernetes;
• ReplicationController и ReplicaSet в Kubernetes;
• Deployment в Kubernetes. Стратегии обновления приложений;
• Service в Kubernetes - Часть 1. Type: ClusterIP. Endpoints;
• Service в Kubernetes - Часть 2. Types: ExternalName, NodePort и LoadBalancer. Headless Service;
• Ingress в Kubernetes. Создание Ingress на Minikube;
• Liveness и Readiness Probes в Kubernetes;
• StartupProbe и httpHeaders для httpGet в Kubernetes;
• Переопределение CMD и ENTRYPOINT Docker иструкций, используя Kubernetes;
• Настройка HTTPS для web-app в Kubernetes. NGINX Ingress и cert manager. Let's Encrypt;
• Lens - IDE для Kubernetes;
• Использование объекта DaemonSet в Kubernetes;
• Использование Jobs в Kubernetes;
• Использование CronJobs в Kubernetes;
• Volumes в Kubernetes - Часть 1. Сравнение Docker storage driver: overlay2 и volume: emptyDir;
• Volumes в Kubernetes - Часть 2. Volumes типов hostPath и awsElasticBlockStore;
• Что такое PersistentVolume, PersistentVolumeClaim и StorageClass;
• Как настроить AWS IAM Roles для Service Accounts в Kubernetes;
• Cert-manager. Настройка HTTPS. Wildcard сертификаты. DNS01 Challenge. AWS Route53;
• Использование ConfigMap и переменных окружения в Kubernetes;
• Что такое Secrets в Kubernetes и как их использовать;
• Что такое Helm. Практический выпуск. Kubernetes;
• Что такое Helm Chart Repository. Установка ChartMuseum. Kubernetes;
• Что такое ArgoCD и как с ним работать в Kubernetes. GitOps;
• Сбор, анализ и отправка Pod логов в ElasticSearch, используя Fluentd. EFK Stack;
• AWS Load Balancer Controller в Kubernetes. Target type: IP vs Instance. Настройка HTTPS;
• Что такое ExternalDNS и как его настроить с использованием AWS Route53;
• Что такое ServiceAccount, Role, RoleBinding, ClusterRole и ClusterRoleBinding в Kubernetes;
• ArgoCD. Cluster Bootstrapping. App of Apps Pattern. Deploy Infrastructure в одну команду в K8s;
• Что такое External Secrets Operator в Kubernetes. AWS: Parameter Store и Secrets Manager;
• Установка и настройка Grafana Loki в Kubernetes, используя AWS S3 Bucket. Promtail;
• Node affinity и anti-affinity vs nodeSelector. podAffinity и podAntiAffinity в Kubernetes;
• Taints и Tolerations в Kubernetes. NoSchedule, PreferNoSchedule и NoExecute;
• Topology Spread Constraints. Запуск Pods в Highly Available. Local cluster, используя Kind;
• Установка Amazon EBS CSI Driver. Использование AWS KMS для EBS;
• Установка Amazon EFS CSI Driver. Dynamic volume provisioning, используя EFS Access points;
• Network Policies в Kubernetes. Установка Calico network policy engine в Amazon EKS.

#RU #Kubernetes

👩‍💻 Основы Ansible 2.9 для сетевых инженеров.

• Основы: [1], [2] [3];
• Модули ios_command, ios_facts;
• Модуль ios_config;
• Модули ресурсов;
• Модули cli_command, cli_config;
• Получение структурированного вывода с помощью фильтров;
• Получение структурированного вывода с помощью ntc-ansible;
• Примеры playbook.

#Ansible #RU

😱 Переходите с Windows на Linux, но не знаете, с чего начать? Задача выглядит пугающе?

⏰ На открытом уроке 24 марта в 20:00 мск мы раскроем все основы Linux. Вы узнаете, как работать с консолью, научитесь базовым командам и разберетесь, что отличает Linux от Windows.

⭐️ Спикер Андрей Буранов — системный администратор в VK, входит в топ-3 лучших преподавателей образовательных порталов.

Мы покажем, как легко освоить Linux, установив программы и управляя пакетами, а также объясним, как устроена файловая система и как эффективно с ней работать.

Участники вебинара получат скидку на большое обучение «Administrator Linux. Basic»:

👉 Записывайтесь прямо сейчас https://otus.pw/kC0l/

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

📚 Бесплатный курс по Python для OSINT специалистов.

• Основная цель курса — не научить тебя писать код на Python, а научить тратить меньше времени на рутинные задачи OSINT. Итак, в дополнение к примерам кода, автор делится ссылками на различные сервисы, которые помогут решить различные задачи.

• Этот курс также будет полезен тем, кто далек от программирования и хочет немного повысить свой технический уровень, попробовать использовать Linux, научиться работать с командной строкой и понимать, что такое "JSON", "API", "WHOIS" и т.д.

Содержание курса:
- Day 0. Preparing for work;
- Day 1. Run the first script;
- Day 2. Minimum Basic Syntax;
- Day 3. Install and run Python command line tools;
- Day 4. Reading and writing files;
- Day 5. Handling HTTP requests and working with APIs;
- Day 6. JSON;
- Day 7. CSV;
- Day 8. Databases;
- Day 9. Automate the collection of search results;
- Day 10. Scraping;
- Day 11. Regular expressions;
- Day 12. Proxies;
- Day 13. Functions for working with lists;
- Day 14. Working with the file system;
- Day 15. Domain information gathering;
- Day 16. List mapping and functions for work with strings;
- Day 17. Generating documents;
- Day 18. Generating charts and maps;
- Day 19. Wayback Machine and time/date functions;
- Day 20. Web apps creation;
- Day 21. Tools to help you work with code.

• Описание курса: https://github.com/cipher387/python-for-OSINT-21-days

• Прямая ссылка на загрузку курса в pdf: python-for-OSINT-21-days

• В дополнение: Бесплатный курс на русском языке: Python для сетевых инженеров.

#Курс #Eng #Python #OSINT

🔃 OpenResty/lua-nginx-module: Уязвимость HTTP Request Smuggling в HEAD-запросах

Раскрыли подробности CVE-2024-33452. При обработке HTTP/1.1-запросов lua-nginx-module некорректно разбирает HEAD-запросы с телом, воспринимая тело запроса как новый отдельный запрос.

Пример

Обычно прокси-серверы интерпретируют следующий HTTP-запрос как единый, поскольку GET /smuggle находится в теле HEAD-запроса:

HEAD / HTTP/1.1
Host: localhost
Content-Length: 52

GET /smuggle HTTP/1.1
Host: localhost

Однако lua-nginx-module интерпретирует его как два отдельных запроса, что приводит к рассинхронизации прокси-серверов в цепочке.

Сценарии атак

Прокси-серверы, использующие lua-nginx-module, уязвимы к этой атаке (например, Kong Gateway, Apache APISIX и другие).

Пример с Kong Gateway

Если Kong работает самостоятельно, уязвимость не представляет особой опасности. Но если Kong используется в связке с фронт-прокси (например, Nginx, Cloudflare и т. д.), злоумышленник может:
1. Внедрять вредоносные ответы (например, XSS-атаки).
2. Обходить защиту фронт-прокси (например, обход Cloudflare).
3. Перехватывать ответы других пользователей.

1️⃣ Внедрение XSS через смуглинг

Этот сценарий позволяет заставить всех пользователей загрузить вредоносный ответ с XSS-кодом, даже если сайт использует обычную страницу Apache.

HEAD / HTTP/1.1
Host: localhost
Content-Length: 122

HEAD /app HTTP/1.1
Host: localhost
Connection: keep-alive

GET /app/assets? HTTP/1.1
X:

Результат: Все пользователи, отправляющие обычные запросы, получат XSS-скрипт в ответе.

2️⃣ Обход защиты фронт-прокси (Cloudflare)

Допустим, Cloudflare блокирует доступ к /admin. Злоумышленник может скрыть GET-запрос к /admin внутри HEAD-запроса и обойти защиту.

Пример:

HEAD / HTTP/1.1
Host: victim.com
Content-Length: 40

GET /admin HTTP/1.1
Host: victim.com

Результат: Cloudflare не увидит GET-запрос, и злоумышленник сможет обойти защиту.

3️⃣ Кража ответов других пользователей

Этот метод позволяет рассинхронизировать очередь ответов на сервере и захватить ответы других пользователей.

Пример атаки
1. Атакующий отправляет HEAD-запрос с внедрённым GET-запросом.
2. Сервер ошибочно интерпретирует тело как отдельный запрос.
3. Ответ попадает не атакующему, а следующему пользователю, а атакующий может забрать ответ жертвы.

Подробности

Более подробное описание читайте в блоге по ссылке.

#web #hrs #xss

Исследователи из Лаборатории Касперского выкатили аналитический отчет по реагированию на инциденты за 2024 год.

В нем представлены анонимизированные данные по расследованиям, проведенным командой GERT, а также статистика и основные тенденции по целевым атакам, ransomware и инструментам злоумышленников, замеченным в течение года в реальных инцидентах.

В 2024 году отметился рост доли запросов в отношении реагирования на инциденты в большинстве регионов, при этом большая часть расследований проводилась в странах СНГ (50,6%), на Ближнем Востоке (15,7%) и в Европе (10,8%).

Распределение IR-запросов по отраслям соответствовало динамике 2023 года, сохранив в тройке лидеров промышленные (23,5%), государственные (16,3%) и финансовые (13,3%) организации.

Однако в этом году большиая часть запросов поступила от промышленных предприятий, тогда как госучреждения подвергались атакам реже, чем годом ранее.

Кроме того, наблюдается тенденция к росту инцидентов, связанных с транспортной отраслью - количество запросов на IR-услуги с 2023 года выросло вдвое.

В 2024 году число атак с использованием ransomware увеличилось на 8,3 пунктов по сравнению с показателями 2023 года и составило 41,6% от общего числа инцидентов.

Эксперты прогнозируют, что программы-вымогатели останутся основной угрозой для организаций по всему миру и в текущем году, продолжая тенденцию последних лет, поскольку эта угроза занимает лидирующие позиции среди инцидентов в организациях.

В большинстве случаев заражений встречались образцы семейства LockBit (43,6%), за которыми следуют Babuk (9,1%) и Phobos (5,5%). Выявлены и новые семейства программ-вымогателей, такие как ShrinkLocker и Ymir.

В результате расследований эксперты GERT также обнаружили примечательные вредоносные кампании, такие как Tusk, а также ряд инцидентов с эксплуатацией CVE-2023-48788.

Еще одной тревожной тенденцией, выявленной в реальных кейсах реагирования на инциденты, является более широкое использование таких инструментов, как Mimikatz (21,8%) и PsExec (20,0%) на этапе постэксплуатации для извлечения паролей и бокового перемещения.

Отдельно в ЛК отмечают усиливающуюся тенденцию, связанную с тем, что утечки данных теперь на втором месте по частоте IR-запросов (в 16,9% всех инцидентов), что коррелирует с предположениями ЛК относительно тенденций в методах доступа к учетным данным.

Полная версия отчета доступна здесь и содержит дополнительную информацию о реальных инцидентах, включая новые угрозы, а также подробным разбором деятельности APT и статистикой по наиболее активным группам.

⚙ Reversing malware для начинающих.

• Анализ вредоносного кода — это целая индустрия в области обеспечения информационной безопасности. Им занимаются и антивирусные лаборатории, выпускающие свои продукты для защиты, и узкоспециализированные группы экспертов, стремящихся быть в тренде векторов атак, и даже сами вирусописатели, которые конкурируют между собой за потенциального клиента — «жертву».

• Одна из важных частей анализа малвари — реверсинг или «обратная разработка», программного обеспечения. Если в двух словах, реверсинг — это попытка изучить и воссоздать алгоритмы работы программы, не имея на руках исходных кодов, с помощью специальных отладочных техник. Об этом сегодня и пойдет речь.

• Предлагаю ознакомиться с серией полезного материала от журнала ][акер, который открыл бесплатный доступ к данным статьям:

- Введение: выбираем инструменты, репозитории и источники знаний;
- Разбираем простой вирус;
- Вскрываем упаковщики, ломаем протекторы;
- Инструменты скрытия вредоносной активности;
- Внедрение shellcode и шифрование malware-кода.

#RE #RU

https://portswigger.net/research/saml-roulette-the-hacker-always-wins

👨‍💻 SMB Penetration Testing.

• SMB Penetration Testing (Port 445).
• A Little Guide to SMB Enumeration.
• Multiple ways to Connect Remote PC using SMB Port.
• Password Cracking:SMB.
• NetBIOS and SMB Penetration Testing on Windows (Port 135-139,445).
• Exploit Windows PC using EternalBlue SMB Remote Windows Kernel Pool Corruption.

#SMB #Пентест

🐳 Docker for Pentesters.

• Background;
• Useful Docker Aliases;
• Example 1 - Exploring other OSs;
• Example 2 - Compiling Code for old targets;
• Example 3 - Impacket;
• Example 4 - SMB Server with Impacket;
• Example 5 - Serving HTTP Files;
• Example 6 - Serving Files over WebDav;
• Example 6 - Serving Files behind NAT with Ngrok;
• Example 7 - Metasploit;
• Example 8 - msfvenom;
• Example 9 - Capturing HTTP Files;
• Bonus Example - Windows Containers;
• Conclusion;
• tl;dr.

#Docker

Злоумышленник скомпрометировал популярный GitHub Action в результате атаки на цепочку поставок, добавив вредоносный код, предположительно нацеленный на секреты, связанные с непрерывной интеграцией и непрерывной доставкой (CI/CD).

По данным StepSecurity, инцидент начался 14 произошел и затронул tj-actions/changed-files (далее - Changed-Files), предназначенный для отслеживания изменений файлов и каталогов и используемый в более чем в 23 000 проектов GitHub.

Action используется в сложных конвейерах CI/CD для запуска других действий на основе того, какие файлы были изменены. Это базовый, но очень важный скрипт автоматизации, который фактически стал одним из самых популярных действий GitHub.

Злоумышленник изменил код Changed-files для выполнения вредоносного скрипта Python, который выгружает секреты CI/CD из процесса Runner Worker.

Пока неясно, как злоумышленник взломал Changed-Files, но, проникнув внутрь, он добавил вредоносный код в каждую версию действия, а это значит, что репозитории, использующие старые версии, также были затронуты.

Секреты записываются в журнал сборки проекта (build log), поэтому для приватных доказательств риск утечки ниже, а вот публичным проектам теперь нужно провести ротацию секретов.

Тем не менее, StepSecurity отметила об отсутствии доказательств того, что утечка секретов была как-либо реализована.

Большинство существующих тегов версий Changed-files были обновлены для указания на вредоносный коммит. Этому инциденту был присвоен  идентификатор CVE-2025-30066.

Исследователи Endor Labs также отследили этот инцидент и не нашли никаких доказательств того, что были затронуты библиотеки с открытым исходным кодом или контейнеры.

Злоумышленник, скорее всего, не искал секреты в публичных репозиториях - они уже опубличены. Скорее всего, хотел скомпрометировать цепочку поставок ПО для других библиотек с открытым исходным кодом, двоичных файлов и артефактов, созданных в процессе.

Любой публичный репозиторий, который создает пакеты или контейнеры как часть конвейера CI, мог быть затронут. Это означает, что потенциально 1000 пакетов с открытым исходным кодом могут быть скомпрометированы.

Причем это относится к корпоративным структурам, имеющим как частные, так и публичные репозитории. Если эти репозитории совместно используют секреты конвейера CI/CD для реестров артефактов или контейнеров.

15 марта GitHub удалил действие tj-actions/changed-files и восстановил его в тот же день после того, как вредоносный коммит был удален из всех тегов и веток.

Разработчики Tj-actions и компании по безопасности поделились рекомендациями, IoC и мерами по реагированию на инциденты. 

По поводу этого инцидента высказывались различные предположения: некоторые полагали, что это могла быть атака, совершенная неопытным злоумышленником, или это была простая попытка повысить осведомленность о потенциальных рисках.

В частности, один исследователей отметил, что еще год назад он опубликовал теоретический сценарий атаки, нацеленной на tj-actions/changed-files.

📶 Маленькие хитрости SSH.

• В этой статье собраны полезные приемы для более эффективного использования SSH:

- Добавить второй фактор к логину SSH;
- Безопасно пользоваться agent forwarding;
- Выйти из вставшей SSH сессии;
- Сохранить постоянный терминал открытым;
- Поделиться удаленной сессией терминала с другом.

🧷 https://habr.com/ru/company/itsumma/blog/499920/

#SSH

👾 Mutation Engine.

• MtE (MuTation Engine, 1991 год) — первый известный полиморфный генератор для вирусов в среде MS-DOS. Его автором является болгарский вирусописатель Dark Avenger, который сумел прославиться как один из самых грамотных и изобретательных создателей вирусов во всём мире ещё в конце 80-х годов.

• Проще говоря, полноценным вирусом MtE не был. Однако, это был первый в истории полиморфный генератор под MS-DOS для использования в вирусах всеми желающими. Dark Avenger опубликовал его в виде объектного модуля с подробнейшей инструкцией по применению и генератором случайных чисел.

• Его коллеги по увлечению, болгарские и зарубежные, не слишком медлили с применением новинки: писать полиморфные вирусы с использованием MtE стало гораздо проще. Соответственно, сети и компьютеры наводнились бесчисленным множеством полиморфной живности, написанными с «подарком» от Dark Avenger.

• Нередко MtE ошибочно называется DAME и расшифровывается как Dark Avenger Mutation Engine («полиморфный генератор от Dark Avenger») — так его могли называть «неофициально», однако в строгом смысле DAME именовался полиморфный движок 1993 года Dark Angel’s Mutation Encryptor от канадской команды хакеров Phalcon/Skism.

#Разное

⚡️Хорошие новости: разыгрываем 3 книги по этичному хакингу.

• 9 победителей этого конкурса получат по 3 книги в бумажной версии, которые будут полезны ИБ специалистам:

- Сети глазами хакера;
- Контролируемый взлом. Библия социальной инженерии;
- Linux глазами хакера.

• Итоги подведём 22 марта в 18:30 случайным образом при помощи бота. Доставка для победителей бесплатная в зоне действия СДЭК.

Для участия нужно:

1. Быть подписанным на наш канал: ZeroDay.
2. Подписаться на каналы наших друзей: Mycroft Intelligence и infosec.
3. Нажать на кнопку «Участвовать»;
4. Profit...

Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».

👨‍💻 Identifying Open ports with nmap.

#nmap

Вышел Npcap 1.81
https://npcap.com/#download

• А Вы знали, что до появления мышек компьютером управляли с помощью клавиатуры? Её хватало для компьютеров без графического интерфейса. В таких все действия выполнялись в консоли.

• Для навигации при работе с большими текстами использовали световое перо — «ручку» с проводом, похожую на Apple Pencil, подключаемую к машине. Выделять и копировать текст им было нельзя, и использовались они только для установки курсора в нужное место. Наглядно это показано на фото выше.

#Разное

Резкий рост кибератак (+42% в 2024) поднял долю ИБ-специалистов в IT до 38%. Самое время начать свой путь в ИБ с обширной базой знаний на курсе Академии Кодебай!

Старт: 17 марта. ☞ Регистрация здесь.

Курс полезен для:
➥ Технических специалистов, этичных хакеров, разработчиков и всех, интересующихся информационной безопасностью

Вы научитесь:
◉ Находить и эксплуатировать уязвимости: SQL Injection, OS Command Injection, XSS, LFI, RFI, SSRF и Unsecure File Upload
◉ Организовывать защиту от перебора паролей, настраивать систему обнаружения вторжений, решать CTF-задания
◉ Консольным командам ОС Windows и Linux, написанию скриптов
◉ Ключевым инструментам пентестера: BurpSuite, Nmap, Gobuster, Wfuzz, Sqlmap, Wpscan и других

По всем вопросам пишите @Codeby_Academy

Исследователи BI.ZONE сообщают об обнаружении новой кампании Squid Werewolf, которые под видом рекрутеров в декабре 2024 года распространяли фишинговые электронные письма в адрес ключевых сотрудников интересующих их организаций.

Причем делали это от лица реально существующей компании, заманивая жертв привлекательными вакансиями с гибким графиком и приличными выплатами.

Детальный анализ позволил атрибутировать атаки к Squid Werewolf (APT37, Ricochet Chollima, ScarCruft, Reaper Group), которые промышляют шпионажем с 2012 года и обычно атакуют страны Азии и Ближнего Востока.

Чаще всего жертвами злоумышленников становятся государственные, оборонные и промышленные организации.

Характерный почерк кибершпионов - рассылка фишинговых писем от имени регуляторов или иных ведомств.

Как показывает последняя кампания, целевые фишинговые рассылки с актуальными темами остаются в приоритете APT, позволяя в кратчайшие сроки получить доступ к информации в системах ключевых сотрудников организаций.

При этом злоумышленники все реже используют документы Microsoft Word и таблицы Microsoft Excel, предпочитая архивы с исполняемыми файлами, скриптами или ярлыками, усложняя свои методы и инструменты.

Замеченная атака начиналась с фишингового письма, отправленного жертве от имени HR-специалиста компании Объединенный промышленный комплекс.

В нем получателю предлагалось ознакомиться с предложением о работе с заманчивыми условиями.

Во вложении находился защищенный паролем ZIP-архив (пароль был указан в тексте письма).

Он содержал LNK-файл «Предложение о работе.pdf.lnk».

Его открытие приводит к запуску многоэтапного процесса, обеспечивающего работу загрузчика DomainManager.dll.

Он реализован на C# и обфусцирован, предположительно, Obfuscar.

Функционально выполняет ряд проверок и обращается к удаленному серверу для запроса вредоносной нагрузки, зашифрованной AES128 CBC, которая на момент исследования была недоступна.

Обнаруженная исследователями атака похожа на описанную Securonix активность, которая была приписана к APT37 (у BI.ZONE - Squid Werewolf).

Ранее атакующие использовали схожую библиотеку на C#, но нагрузка расшифровывалась алгоритмом сдвига (шифр Цезаря) и представляла собой обфусцированный код на JavaScript.

Данная нагрузка являлась еще одним загрузчиком, который отправлял на сервер имя компьютера жертвы, загружал и выполнял код следующей стадии - PowerShell-сценарий, являющийся трояном удаленного доступа VeilShell.

Технические подробности новой кампании и IoC - в отчете.

💸 ArtMoney.

• Вот Вам немного ностальгии в ленту )) Уверен, что многие из Вас пользовались данным ПО, когда играли в различные игры и пытались получить неограниченное кол-во ресурсов. Ниже будет небольшой рассказ, который посвящен ArtMoney.

• История приложения ArtMoney началась давно, в 1996 году. Его создал Михайлов Артём Сергеевич, выпускник факультета информатики Самарского аэрокосмического университета. Разработана программа для того, чтобы помогать геймерам. Например, получать бесконечные жизни и ману, боеприпасы и ресурсы.

• Первые версии работали с играми под DOS и Windows. Но позже появилась поддержка всевозможных эмуляторов игровых консолей — от ZX Spectrum до Nintendo Switch. Так что если вам надо получить бессмертие в каком-нибудь редком консольном тайтле, то ArtMoney, скорее всего, с этим справится.

• Приложение оперирует файлами конфигурации или данными игры в оперативной памяти. По сути ArtMoney позволяет создавать свои собственные чит-коды для игр. Таким образом, даже если для игры нет доступных чит-кодов, предусмотренных разработчиками, вы всё равно сможете изменить баланс сил и ресурсов в свою пользу.

• Поддерживаются все 32- и 64-битные версии Windows, начиная с Windows XP SP3 и заканчивая Windows 11. При использовании рекомендуется отключить UAC или каждый раз запускать приложение с правами администратора. Без этого операционная система не даст открыть и редактировать память процессов.

• Забавно, но ArtMoney — это не только про игры. Это ещё и про отладку почти любых приложений под Windows. Раньше это приложение частенько использовали в паре с доп. утилитами, такими как дизассемблер IDA Pro и отладчик SoftICE.

• Таким образом, можно изучать не только любые игры, но и другие приложения. Это не только отличная практика, но и возможность создать на их основе собственные варианты изменения параметров.

• https://www.artmoney.ru/rus_proinfo.htm

#Разное

Взломай меня, если сможешь!

Боты скупают товары быстрее, чем люди. Фишинговые сайты крадут данные пользователей, а мошенники находят лазейки даже в самых защищённых системах. Пока одни компании теряют деньги, другие уже знают, как противостоять киберугрозам.

Хотите узнать, какие атаки ждут ваш бизнес в 2025 году? 13 марта 2025 года  с 11:00 до 13:00 приглашаем на бесплатный вебинар, где эксперты F6 разберут самые актуальные техники атак:

– Как злоумышленники используют социальную инженерию?
– Как работает вредоносное ПО (ВПО) в реальных атаках?
– Какие угрозы связаны с NFCGate и SpyNote?

Команда F6 представит реальные кейсы атак, основанные на нашей статистике и опыте исследования ВПО, и покажет, какие стратегии защиты действительно работают.

Регистрируйтесь на вебинар, чтобы узнать, как защитить ваш бизнес от киберугроз!

#реклама
О рекламодателе

💻 Аппаратные закладки в процессорах – мифы и реальность.

• Вокруг вопроса наличия аппаратных закладок в процессорах циркулирует большое количество слухов и спекуляций. Угроза их присутствия в современных процессорах очень часто является едва ли не основным лейтмотивом в обосновании необходимости использования только отечественной компонентной базы в России.

• Более того, зачастую, некоторые горе-эксперты, подвизавшиеся зарабатывать славу на ниве темы отечественной микроэлектроники, постулируют наличие недокументируемых возможностей в зарубежных CPU как вопрос самоочевидный. В данной статье хотелось бы обрисовать общую картину того, какова ситуация с потенциальным наличием аппаратных закладок в реальности и насколько эта угроза представляет проблему.

• https://habr.com/ru/articles/678022/

#Разное #ИБ