🐈‍⬛ [1/2] Обзор ключевых изменений в Hashcat 7.0.0

Выход Hashcat 7.0.0 знаменует собой значительный скачок в развитии инструмента. В работе над релизом приняли участие 105 контрибьюторов, было изменено около 900 000 строк кода. Обновление не только вводит новые мощные функции, но и серьезно перерабатывает и улучшает уже существующие.

Основные нововведения можно сгруппировать по следующим категориям:

▪️Новые возможности: Радикально новые функции, расширяющие горизонты применения Hashcat.
▪️Новые алгоритмы: Поддержка современных и востребованных алгоритмов хеширования.
▪️Улучшения производительности: Значительный прирост скорости на различном оборудовании.
▪️Совершенствование существующих функций: Глубокая переработка внутренних механизмов для повышения эффективности и стабильности.


➡️1. Новые функции: расширение границ возможного

1.1. Assimilation Bridge: Революционная концепция

Это, пожалуй, самое важное нововведение в Hashcat 7.0.0. Assimilation Bridge — это новая архитектура, которая позволяет интегрировать в Hashcat внешние вычислительные ресурсы, выходя за рамки традиционных бэкендов, таких как OpenCL и CUDA. Теперь можно подключать:
▪️FPGA (Программируемые пользователем вентильные матрицы)
▪️Удаленные TPM (Trusted Platform Modules)
▪️Скриптовые языки (например, Python)

Ключевая идея — гибридное исполнение. Части одного и того же алгоритма могут выполняться на разном оборудовании. Например, в scrypt часть PBKDF2 может обрабатываться на GPU, а ресурсоемкая по памяти часть SMix — на FPGA или CPU.

Одним из ярких примеров реализации моста является Python Bridge. Он позволяет писать логику для новых или редких алгоритмов хеширования прямо на Python, без необходимости перекомпиляции ядра Hashcat или написания сложного кода для GPU. Это значительно упрощает эксперименты и решение задач в рамках CTF-соревнований.

1.2. Виртуальные устройства (Virtual Devices)

Эта функция позволяет Hashcat разделять одно физическое устройство (например, GPU) на несколько виртуальных. Это решает проблему асинхронной работы и разных скоростей при использовании Assimilation Bridge. Каждое виртуальное устройство может обрабатывать данные в своем темпе, что исключает простои и повышает общую эффективность. Управлять этим можно с помощью новых ключей -Y (количество виртуальных устройств) и -R (привязка к физическому устройству).

1.3. Новые бэкенды: HIP и Metal

Hashcat 7.0.0 вводит официальную поддержку двух новых вычислительных API:
▪️AMD HIP: Аналог CUDA для видеокарт AMD. Поддержка HIP была и ранее, но теперь она считается стабильной и во многих случаях показывает лучшую производительность, чем OpenCL на тех же устройствах.
▪️Apple Metal: Низкоуровневый API для устройств Apple. Учитывая, что Apple отказалась от поддержки OpenCL, интеграция Metal является критически важным шагом для поддержания высокой производительности на macOS и устройствах с чипами Apple Silicon (M1, M2 и т.д.). Интеграция Metal привела к колоссальному росту производительности: например, для Argon2 скорость выросла на 4550%.

1.4. Автоматическое определение режима хеширования

Для повышения удобства использования теперь не обязательно указывать режим хеширования с помощью параметра -m. Hashcat может автоматически проанализировать входной хеш и определить соответствующий режим. Если хеш соответствует нескольким режимам, Hashcat выведет список для выбора. Для принудительной идентификации без запуска атаки можно использовать новую опцию --identify.

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

🐈‍⬛ [2/2] Обзор ключевых изменений в Hashcat 7.0.0

1.5. Поддержка Docker

Хотя основное назначение Docker-образа — это создание чистой и воспроизводимой среды для сборки Hashcat (включая кросс-компиляцию для Windows), его можно с небольшими изменениями превратить и в среду для запуска. Это упрощает развертывание и управление зависимостями.


➡️2. Новые алгоритмы и улучшения производительности

2.1. Поддержка Argon2 на GPU

Одним из самых долгожданных нововведений стала эффективная реализация Argon2 (победителя конкурса Password Hashing Competition) для GPU. Ранее этот "GPU-устойчивый" алгоритм можно было атаковать только на CPU. Используя специальные инструкции warp shuffle, доступные на современных GPU, разработчикам удалось реализовать высокопроизводительную версию, которая хранит целый блок данных (1024 байта) в регистрах GPU. Это обеспечивает значительное ускорение по сравнению с CPU-реализациями.

2.2. Общий прирост производительности

Благодаря полной переработке движка автотюнинга (Autotune) и механизмов управления памятью, многие алгоритмы получили значительный прирост скорости.

▪️scrypt: до +320% на NVIDIA и +60% на AMD.
▪️bcrypt: +11% на NVIDIA.
▪️Whirlpool: +113% на AMD.
▪️SHA1: +16.48% на NVIDIA благодаря поддержке новых низкоуровневых инструкций.
▪️NTLM на CPU: Впервые преодолен барьер в 10 GH/s на потребительском процессоре (AMD Ryzen 9 9900X).


➡️3. Улучшения существующих функций

3.1. Переработка движка автотюнинга (Autotune Refactorization)

Движок автотюнинга, отвечающий за подбор оптимальных параметров запуска для максимальной производительности, был полностью переписан. Новый трехэтапный процесс (теоретический и измерительный) позволяет более точно и гибко настраивать параметры, избегая проблем старых версий.

3.2. Переработка управления памятью (Memory Management Refactorization)

Был снят жесткий лимит в 4 ГБ памяти на одно устройство. Новая динамическая система, названная "Downtuner", анализирует реальные характеристики оборудования (количество вычислительных блоков, объем памяти) и подбирает оптимальные параметры, чтобы избежать ошибок нехватки памяти как на устройстве, так и на хосте.

3.3. Переработка Scrypt

Обработка алгоритмов на основе scrypt была значительно переработана. Логика вынесена в общую библиотеку для упрощения разработки плагинов. Новая динамическая стратегия тюнинга позволяет на лету вычислять оптимальные параметры, что делает работу более адаптивной и надежной.

3.4. Улучшения движка правил (Rule Engine)

Движок правил был расширен за счет добавления команд для классов символов, синтаксис которых аналогичен используемому в John the Ripper. Это позволяет создавать более сложные и гибкие правила для мутации паролей.

🔖Заключение

Hashcat 7.0.0 — это не просто очередное обновление, а качественный скачок, который определяет будущее инструмента на годы вперед. Внедрение Assimilation Bridge открывает практически безграничные возможности для гибридного хешкракинга. Поддержка Argon2 на GPU решает одну из самых актуальных задач в области. А глубокая переработка внутренних механизмов, таких как автотюнинг и управление памятью, обеспечивает значительный прирост производительности и стабильности.

👍 Это обновление, безусловно, стоило трех лет ожидания))

🔗 ТУТ можете почитать changelog более полно на англ

🔗 Скачать последнюю версию 🐈‍⬛

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

[2/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе

4. Поведенческий анализ:

Необычные паттерны выполнения команд
Автоматизированная генерация системных команд
Массовый сбор системной информации

Защитные меры

Немедленные действия:
1. Блокировка известных IoC (IP, домены, хеши)
2. Мониторинг обращений к LLM API
3. Усиленный контроль email-вложений
4. Проверка директории %PROGRAMDATA%\info\

Долгосрочные меры:

# Блокировка LLM API (если не используются легитимно)
netsh advfirewall firewall add rule name="Block_LLM_APIs" 
dir=out action=block remoteip=inference.huggingface.co

# Мониторинг подозрительных процессов
wevtutil qe Security /q:"*[System[EventID=4688] and 
EventData[Data[@Name='NewProcessName'] and 
(contains(.,'wmic') or contains(.,'systeminfo'))]]"

Правила YARA для обнаружения:

rule LAMEHUG_AI_Malware {
    meta:
        description = "Detects LAMEHUG AI-powered malware"
        author = "Security Research"
        date = "2025-07-30"
    
    strings:
        $api1 = "inference.huggingface.co"
        $api2 = "Qwen2.5-Coder"
        $path = "%PROGRAMDATA%\\info\\info.txt"
        $cmd1 = "systeminfo >>"
        $cmd2 = "wmic computersystem"
        
    condition:
        2 of them
}

Значение для индустрии

Новая эра угроз:
LAMEHUG представляет фундаментальный сдвиг в разработке malware. Использование LLM для динамической генерации команд делает malware более адаптивным и сложным для обнаружения.

Ключевые риски:
- Автоматизация сложных атак без экспертизы
- Обход статических сигнатур через динамическую генерацию
- Снижение барьера входа для киберпреступников
- Масштабирование персонализированных атак

Эволюция защиты:
Традиционные методы обнаружения, основанные на статических сигнатурах, становятся менее эффективными. Необходим переход к поведенческому анализу и мониторингу AI-активности.

Прогнозы развития

Ближайшее будущее:
- Интеграция более мощных LLM (GPT-4, Claude)
- Локальные LLM для избежания сетевых индикаторов
- AI-генерация полиморфного кода
- Автоматизированная социальная инженерия

Защитные технологии:
- AI-powered detection systems
- Behavioral analysis of AI usage
- LLM API monitoring and filtering
- Adversarial AI techniques

Практические рекомендации

Для SOC-команд:
1. Внедрить мониторинг LLM API трафика
2. Усилить анализ email-вложений с PyInstaller
3. Разработать playbook для AI-powered threats

Для организаций:
1. Обучение персонала новым типам угроз
2. Обновление политик использования AI
3. Контроль доступа к LLM API
4. Регулярный аудит AI-активности в сети

Выводы

LAMEHUG знаменует начало новой эры в кибербезопасности. APT28 продемонстрировала, как AI может быть weaponized для создания более изощренных и адаптивных угроз.

Критические моменты:
- Первый случай боевого применения LLM в malware
- Динамическая генерация команд через AI
- Снижение технических барьеров для атакующих
- Необходимость пересмотра подходов к защите

Индустрия должна готовиться к волне AI-powered угроз. Время адаптации защитных стратегий - сейчас.

✍️ Источник

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK