• Когда-то давно, я обращал внимание на то обстоятельство, что в отличие от винды сообщения об ошибках здесь не особо информативны, а порой система просто не желает делать то, что тебе нужно, по непонятным причинам. В Suicide Linux эта философия доведена до абсолюта: любую ошибку при вводе команд в консоли ОС воспринимает, как запрос на очистку жесткого диска «
rm -rf /». Вероятно, что это самая "своеобразная" ОС, с которой мне доводилось сталкиваться.• Suicide Linux — нечто вроде игры, позволяющей понять, насколько долго вы сможете пользоваться системой прежде, чем потеряете все свои данные. Заодно он позволит хорошенько отточить свои навыки работы в терминале и как следует выучить синтаксис команд #Linux. К слову, для удобства пользователя разработчики распространяют Suicide Linux в виде контейнера Docker.
• В качестве дополнительного материала: много полезных ссылок и ресурсов для изучения Linux.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• По статистике значительная часть заражений малварью происходит из-за того, что пользователь сам запустил на своей тачке вредоносный файл. Именно в этом и заключается основная задача злоумышленников, использующих социальную инженерию. Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.
• Основная составляющая фишинга в том, что данный метод атаки позволяет обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему. Сегодня предлагаю ознакомиться с интересной статьей, в которой описаны самые дерзкие и масштабные фишинговые схемы, которые сработали в 2024 году.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Эта статья про физическое проникновение в один из банков Ливана. Легальный проект, с неожиданной концовкой, который выполнял один из самых известных специалистов по физическому тестированию на проникновение Jayson E. Street!
• Вся история — это набор фактов, смешанный с его личными комментариями с выступлений, интервью и общения в кулуарах. Если вам интересно как проверяли физическую безопасность банка с помощью социальной инженерии, то переходите по ссылке ниже. Приятного чтения:
• Другой увлекательный материал:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
2
• В прошлом году публиковал ссылку на интересное исследование [1] [2], в котором автор собирал статистику и описывал варианты настройки своего SSH-ханипота. Если не читали, то обязательно ознакомьтесь!
• Так вот, в этом посте собрано небольшое кол-во open source SSH-ханипотов, которые можно использовать для защиты своих серверов и локальных сетей. Тут стоит отметить, что ханипоты не только замедляют атаку и дезориентируют злоумышленников, но и присылают алерты и собирают информацию об атакующем. В некоторых случаях этих данных хватает, чтобы понять его методы и мотивы. С помощью ханипотов можно получать ранние предупреждения о начавшейся атаке, выявлять "слепые пятна" в существующей архитектуре безопасности и совершенствовать стратегию защиты в целом.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Начиная с 2024 года Apple начала использовать в своих устройствах новый USB-C контроллер, который встраивают не только в iPhone, но и в Mac, iPad и другие гаджеты. Так вот, известный в узких кругах исследователь безопасности Thomas Roth взломал этот USB-контроллер, что позволило ему выполнить произвольный код и контролировать устройство.
• О своём достижении он рассказал во время конференции Chaos Communication Congress, которая проходила в Германии с 27 по 30 декабря 2024 года. Если говорить простыми словами, то с помощью реверс-инжиниринга Томас выяснил, в какой момент система проверяет прошивку, чтобы успеть загрузить модифицированный патч и обмануть систему защиты ACE3. Например, с помощью этой уязвимости можно подключать несертифицированные аксессуары или выполнять операции без согласия пользователя: https://media.ccc.de/v/38c3-ace-up-the-sleeve-hacking-into-apple-s-new-usb-c-controller
• Исследователь сообщил об уязвимости Apple, но компания пока не планирует её исправлять. Атака слишком сложная, поэтому ей не будут пользоваться массово. Сам Томас согласился с тем, что использовать уязвимость очень сложно и угроза для пользователей маловероятна. Некоторые сервисные центры отметили, что данная уязвимость поможет им проводить диагностику сломанных Mac.
• P.S. Помимо этого доклада на конфе было представлено еще очень много крутых презентаций (более 200), которые будут полезны ИБ специалистам и не только... Все доклады доступны для просмотра по этой ссылке: https://media.ccc.de/c/38c3
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Проникновение на объект заказчика, или физический пентест — довольно деликатная тема. О нем редко говорят в паблике и еще реже делятся советами и рекомендациями.
• По ссылке ниже можно найти крутой кейс, в котором описан процесс взлома "Дата-центра". Автор поделился своим опытом проведения физического пентеста и подробно рассказывает о методах сбора информации, включая анализ сотрудников компании через LinkedIn и утечки данных, а также использование социальной инженерии для получения доступа к объекту. Приятного чтения:
• Автор: @r00t_owl
• Дополнительный материал:
- Взлом промышленного предприятия;
- Взлом Отеля;
- Взлом на высоте;
- Аппаратный БЭКДОР.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
2
• Если перед нами стоит задача получить дамп трафика конкретного приложения в Linux, то мы можем воспользоваться утилитой Nsntrace. С помощью создания виртуальных интерфейсов и отдельного сетевого пространства имён, тулза запустит нужное нам приложение, и выполнит трассировку трафика только для него, используя libpcap. Результат работы будет сохранен в отдельный файл, который можно будет прочитать любой стандартной утилитой, умеющей в pcap.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
11
• Matrix — открытый протокол мгновенного обмена сообщениями и файлами с поддержкой голосовой и видеосвязи. Почему стоит обратить на него внимание, если у нас уже есть Telegram? Ну, во-первых он позволяет создавать свои собственные сервера, а во-вторых его протокол со стороны выглядит как самый обычный HTTPS. А еще мы можем поднять свой личный сервер, протокол Matrix - открытый, исходники клиентов - открыты, исходники серверов - тоже открыты, а в самом протоколе end-to-end шифрование включено для чатов по умолчанию из коробки (в отличие, например, от Telegram, где оно доступно только в "секретных чатах"). Ну и само собой, не требуется нигде вводить телефонный номер для регистрации.
• Сервер Matrix может работать как изолированно ("только для своих"), так и в составе "федерации" - когда разные серверы общаются между собой, и пользователи, подключенные к разным серверам, могут общаться друг с другом. Здесь есть олды, которые помнят Jabber и IRC? Ну вот, здесь аналогичный принцип. Я бы даже сказал, что Matrix - это Jabber на стероидах. В принципе, чтобы начать пользоваться Matrix, не нужен даже свой сервер - можно зарегистрироваться на каком-нибудь публичном сервере (самый известный из которых, неожиданно, matrix.org), установить какой-нибудь из клиентов (самый популярный - Element, он есть под Android, iOS, десктопы, и веб), и вперед. Но нам с Вами этого не нужно, мы поднимем свой сервер, с блекджеком и через Tor!
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
3
• СКУД (англ. PACS) — комплекс оборудования, предназначенный для ограничения доступа на охраняемом объекте. Минимальная конфигурация такой системы - это
• В очередной годной статье от ребят из Бастион описан процесс, который демонстрирует не просто взлом стандартного оборудования, а новых биометрических терминалов. Приятного чтения:
• Дополнительный материал:
- Взлом Дата-центра;
- Взлом банка методами социальной инженерии;
- Взлом лифтов - Из шахты в пентхаус;
- Red team: пентест одновременно двух организаций.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• В нашем втором канале проходит небольшой розыгрыш, где победители смогут получить коллекцию актуальных и полезных книг для ИБ специалистов:
- Сети глазами хакера;
- Linux глазами хакера. 7-е издание;
- Веб-сервер глазами хакера. 4-е изд;
- Реагирование на инциденты на основе аналитических данных. 2-е издание;
- Контролируемый взлом. Библия социальной инженерии. 2-е издание;
- Linux. От новичка к профессионалу. 9 изд.
• Каждый победитель получит сразу весь пул книг в бумажном варианте, которые перечислены выше. Принять участие можно тут: https://t.me/it_secur/2635
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1
• Прочитал в группе у Вилсаком интересную историю про девушку, которая оказалась жертвой скамеров и лишилась аккаунта Apple, а её iPhone превратился в кирпич. Схема не совсем стандартная, но ничего особенного тут нет. Комментировать не стану, просто процитирую сообщение от человека, который наблюдал за происходящим. Выводы можете сделать самостоятельно:
Моя девушка была в поиске работы и сидела на hh.ru всем нам знаменитый сайт для поиска работы. Все было как всегда, отклик, далее созвон, переписка с будущим работаюодателем, далее игнор. Прошло пара месяцев и они появились на горизонте, извинились за игнор, сказали, что предыдущий смм-менеджер не оправдал надежд, поэтому вспомнили про мою девушку, она выполнила тестовое задание, ее взяли на работу, договорились создать общий чат с работодателем и еще одной девочкой на стажировке, сказали, что выбирать будут между ними. В этот чат работодатель скинул ссылку на CRM, чтобы подключить в общую систему организации, это выглядело довольно обычной процедурой, во многих организациях так, НО в данном случае нужно было авторизовываться через свой Эплайди, компания была про гаджеты эпл, поэтому это тоже не сильно смутило, ссылка и содержимое ссылки была знаменитая amoCRM, ничего мою девушку здесь не смутило и меня бы на ее месте тоже.
Далее после авторизации сайт начал выдавать ошибку, якобы пароль и логин неверный, и не пускал в систему. Она не могла зайти, а вторая девушка в чате, писала якобы у нее все получается и уже приступила к выполнению работ. Моя девушка начала паниковать, что ее соперница уже выполняет задания и в выигрышном положении. Работодатель моей девушке посоветовал сбросить код и пароль, якобы это могло помочь. Как только в панике моя девушка это сделала, ее телефон превратился в кирпич, как и у ребят с дайвинчика. Та же самая надпись украденного телефона. Но в нашем случае был украден сам аккаунт эпла. Начали требовать 14к, я запретил своей девушке даже думать о том, чтобы скинуть хоть рубль, мы столкнулись с этим впервые, поэтому начали смотреть ремонтников и сервисы, никто ничего не смог сделать. Кирпич сдали на запчасти. Купили новый. Повезло что неделю назад сломался макбук, и он лежал в этот момент в сервисе без эплайди, иначе мак тоже бы превратился в кирпич.
Так что ребят всегда будьте начеку, даже с работодателями на Хх.ру особенно с работой на удаленке. Очень грамотный прогрев длиной в два месяца и далее работа над психологией с подставным соперником, у которого все получается. Теперь не просто блочат телефон, а крадут аккаунты, слава богу что им досталась только галлерея, где не было ничего интересного или того, чем можно было бы шантажировать.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
88
• Технологии внедрения своего кода в чужие процессы уже много лет используются различными вредоносными приложениями. В Windows это стало довольно распространенным явлением. Вредонос инжектит фрагменты своего собственного кода в другой запущенный процесс, чтобы затем его выполнить. Как раз об этом и поговорим.
• На этот раз я поделюсь с Вами очень полезным материалом, в котором мы рассмотрим различные техники внедрения — продвинутый подход, позволяющий внедрять код в легитимные процессы. Широко используемый в реальных сценариях атак, эти методы обеспечивают скрытное выполнение кода за счет использования привилегий и возможностей целевых процессов. Мы рассмотрим различные техники внедрения с практическими примерами, которые связывают теоретические концепции с их реальными сценариями.
• Материал разбит на 6 частей:
• Учитывайте, что данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности, которые проводят тестирование в рамках контракта. Всегда думайте головой и не нарушайте закон. Всем добра
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Знать ассемблер раньше было обязательно для каждого хакера. Сейчас — только для лучших в своей профессии. Понимать язык машины не только полезно, но и крайне увлекательно: освоив ассемблер, ты научишься программировать без помощи операционной системы и общаться с «железом» напрямую.
• Статья ниже представлена в виде объемной "шпаргалки" и предназначена для тех, кто уже знает основы этого языка программирования. Но если Вам интересна данная тема и вы хотите начать изучение с нуля, то в сети есть много ценных книг и материала, которые можно найти в свободном доступе. Материал включает в себя следующую информацию:
• P.S. На YT есть неплохая серия уроков по сегодняшней теме. Ссылка на плейлист.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
• Nmap — эталон среди сканеров портов и один из важнейших инструментов пентестера. В первую очередь используется для сканирования портов, но, кроме этого, имеет огромную массу полезных функций, что, по сути, делает Nmap супер-комбайном для исследования сетей.
• Автоматизировать свою работу и сократить время на выполнение определенных задач нам поможет шпаргалка, которую можно использовать при работе с этим инструментом:
• Дополнительно:
- Nmap + Grafana;
- Nmap для хакера;
- Полный список скриптов Nmap NSE;
- #nmap.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
12
• Очень полезный репозиторий для ИБ специалистов и пентестеров, независимо от того, являетесь ли вы новичком или прожжённым экспертом. Сохраняйте ссылки в избранное и используйте эту шпаргалку на практике! Тут можно найти очень много полезной информации. Материал разделен на следующие категории:
• В качестве дополнения предлагаю пройтись по следующим ссылочкам и сохранить другие шпаргалки:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
11
• Данный материал написан в соавторстве с @mycroftintel
• Телеметрия – это бич современности. А задумывалось все неплохо: данные о том, что делает пользователь на вашем сайте используются для улучшения так называемого «user experience». Но, как говорится, доверь дураку хрен стеклянный, он и хрен разобьет, и руки порежет. И поэтому позитивная идея сбора информации об активности пользователей превратилась в тотальную слежку за всем и вся.
• Больше всех в этом вопросе преуспела мелкомягкая корпорация. Windows – это операционная среда, напичканная следилками сверху до низу. И, что еще более печально, она никак не запрещает авторам других программ тоже следить за вами и зарабатывать на этом свой гешефт. Конечно, справедливости ради, при установке системы вы можете передернуть все рубильники и отключить телеметрию. Но это фронт. А изменилось ли что-то на бэке – большой вопрос.
• Тут есть кое-какие полезные советы. Например, используйте локальную учетку, которая не синхронизируется с серваками Майков. Проверьте все рубильники в разделе «Конфиденциальность», отключите телеметрию в разделе «Сборки для сбора данных и предварительные сборки» в Компонентах Windows. Еще надо бы поиграться в реестре и там тоже вырубить телеметрию и целый ряд не очень приятных функций. Таких, например, как передача информации о Wi-Fi сетях и многие другие.
• В общем, работы на целый день. Но есть способ оптимизировать процесс. Лично я очень люблю и уважаю BlackBird. Эта прекрасная программка позволяет буквально несколькими кликами (ну или командами, ибо она консольная) выключить все то, что вы знали сами о телеметрии и о чем даже не догадываются поверхностные гайды по анонимности в этом вашем Интернете. BlackBird поможет вам прибить назойливую Cortana и богомерзкий Edge, запретить любые отчеты и активность сервисов. И вот она, долгожданная сетевая тишина. Для надежности еще файрволл поставьте и запретите все, что вызывает подозрения. И тогда да, принимайте мои поздравления. Ваша система стала чуть более защищенной.
• Дополнительную информацию можно найти в группе @mycroftintel
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
14
• Дидье Стивенс — бельгийский разработчик и авторитетный специалист по информационной безопасности. Наиболее известен своими инструментами по взлому паролей Windows, анализу документов PDF и внедрению туда вредоносных файлов, а также как автор опенсорсных утилит Didier Stevens Suite: это 140 программ для системных операций с файлами, процессами, реестром и прочими штуками. Например, диспетчер задач Windows, реализованный в Excel/VBA. О них и пойдет речь в данной статье:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
2
• У меня для вас несколько очень полезных книг, которые охватывают тему сетей и будут полезны для начинающих. Обязательно добавляйте в избранное и изучайте, материал действительно очень годный:
• P.S. Две первые книги написаны на английском языке. Если у вас с этим сложности, то воспользуйтесь chatgpt и deepl. Да, перевод не совсем точный, но понять суть становится намного легче.
• P.S.S. Не забывайте по наш репозиторий, в котором собран полезный материал для изучения сетей: https://github.com/SE-adm/Awesome-network/tree/main
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
2