🚩 Итоги летнего сезона на платформе Codeby Games

Друзья, летний сезон подошёл к концу, а это значит, что пришло время объявить победителей!

🥇Term1nal - курс «WAPT» + 10.000 руб. + 3 мес. Telegram Premium
🥈fefu co11ap5z - курс «Python для пентестера» + 10.000 руб. + 3 мес. Telegram Premium
🥉A1ERTA - курс «SQL-Injection Master» + 10.000 руб. + 3 мес. Telegram Premium

4-10 место - 1 мес. Telegram Premium и скидка 10% на любой курс Академии Кодебай

Благодарим всех за участие и желаем удачи в осеннем сезоне! 🍁

👩‍💻 Ubuntu 24.04.1 LTS: Новые исправления и устойчивость до 2029 года

Компания Canonical выпустила первое обновление для Ubuntu 24.04.1 LTS, которое включает многочисленные исправления для повышения безопасности и стабильности системы. Данный релиз устраняет баги в инсталляторе и загрузчике, что особенно важно для новых установок. Пользователи Ubuntu 22.04 теперь могут обновиться до версии 24.04.

Также обновления получили другие версии, такие как Kubuntu и Xubuntu. Поддержка LTS-продлится до 2029 года, обеспечивая стабильность и актуальность системы в долгосрочной перспективе.

🌚 Если вы уже используете Ubuntu 24.04, все изменения будут автоматически установлены через стандартные обновления.

Полезные утилиты для мониторинга вашей Linux системы👩‍💻

⏺️Если вы работаете системным администратором и/или имеете линукс в качестве домашней базовой ОС, то данные утилиты будут для вас полезны!

🌚top - утилита покажет статистику процессов и использования ресурсов (можно использовать более красивый аналог htop)

🌚vmstat - утилита для отображения проблем с памятью, использованием диска и другой системной информации.

🌚lsof - покажет "открытые файлы" в системе Открытый файл означает файлы на диске или каналы, используемые процессами в фоновом режиме.

🌚netstat - утилита покажет сетевую статистику

🌚ps auxef - покажет полный список, который предоставляет подробную информацию о процессах.

🌚free -m - утилита отобразит используемую память в вашей системе.

🌚uptime - покажет как долго работает система.

🌚vmstat -m - утилита отображает информацию о вашей виртуальной машине.

🌚pstree - утилита показывает структуру наследования процессов.

🌚neofetch - утилита покажет информацию о вашей системе. требуется отдельная установка

🛡 Преимущества и недостатки использования виртуальной рабочей машины (ВАРМ) для специалистов по безопасности

🌚 Виртуальная рабочая машина (ВАРМ) набирает популярность среди организаций, стремящихся усилить безопасность своих данных. Это решение обеспечивает централизованное управление, упрощает замену системы при сбоях и работает в корпоративной сети, что облегчает контроль и защиту данных.

⏺️Однако существуют и недостатки. Ограничение в выборе операционной системы, особенно для пользователей Linux, может вызывать неудобства. Долгая загрузка рабочего стола и сетевые задержки могут негативно сказываться на продуктивности. Кроме того, установка программного обеспечения требует значительного времени из-за необходимости согласования и проверки безопасности.

Перед внедрением ВАРМа следует тщательно взвесить его преимущества и недостатки. Для некоторых организаций усиленный контроль и защита данных могут перевесить минусы, однако возможные задержки и ограничения стоит учитывать при принятии решения.

#новости

В течение нескольких лет группа хакеров, связанная с иранским правительством, сотрудничала с группами, занимающимися вымогательскими атаками, нацеливаясь на организации в США.

🤫 В совместной консультации от 28 августа, ФБР, Агентство по кибербезопасности и инфраструктуре США (CISA) и Центр киберпреступлений Минобороны США (DC3) предупредили об угрозах, исходящих от Fox Kitten, иранской APT-группы (группы постоянных целенаправленных угроз). Они провели многочисленные попытки взлома с 2017 года по август 2024-го.

🖥 Цели атак: школы, муниципальные правительства, финансовые учреждения и медицинские учреждения

➡️ Fox Kitten активно продает доступ к системам на подпольных рынках и сотрудничает с группами NoEscape, RansomHouse и ALPHV/BlackCat, получая процент от выкупа.

🔍 Кроме того, Fox Kitten занимается шпионажем для иранского правительства, нацеливаясь на оборонные сектора в США, Израиле, Азербайджане и ОАЭ. Для этого группа использует прикрытие через иранскую компанию Danesh Novin Sahan.

🗣️ По данным Infosecurity Magazine, Fox Kitten, известная также как Pioneer Kitten, Rubidium и другими псевдонимами, активна с 2017 года и представляет значительную угрозу для организаций в разных частях мира, включая Северную Америку, Европу и Ближний Восток.

📸 Ботнет Corona, являющийся модификацией Mirai, активизировался и эксплуатирует уязвимость в устаревших IP-камерах AVTECH, которые больше не поддерживаются производителем.

🌚 Уязвимость CVE-2024-7029, связанная с функцией управления яркостью, позволяет злоумышленникам выполнять командные инъекции на устройствах с прошивками до версии Fullmg-1023-1007-1011-1009.

🗣️ С марта 2024 года зафиксированы атаки, при которых ботнет использует эту уязвимость для взлома камер и загрузки вредоносных скриптов.

Все хакеры пентестеры используют какие-то системы. Они называются дистрибутивами GNU\Linux 👩‍💻

Однако для некоторых манипуляций подойдёт не каждый. Существуют специализированные, так называемые дистрибутивы Linux для пентеста. Вот несколько примеров:

✔️ Kali Linux
🔸Дистрибутив Linux, разработанный для цифровой криминалистики и тестирования на проникновение. Он поддерживается и финансируется Offensive Security.

✔️ ParrotOS
🔸Дистрибутив Linux на базе Debian, ориентированный на безопасность, конфиденциальность и разработку.

✔️ BlackArch
🔸Дистрибутив для тестирования на проникновение на основе Arch Linux, предоставляющий большое количество инструментов безопасности.
🔸Это дистрибутив с открытым исходным кодом, созданный специально для тестировщиков на проникновение и исследователей безопасности.
🔸Репозиторий содержит более 2900 инструментов, которые можно устанавливать по отдельности или группами.

✔️ AthenaOS
🔸Дистрибутив на базе NixOS, созданный для пентестинга, подчеркивающий комплексную поддержку пользователей на разных этапах их пути.
🔸Он облегчает обучение пользователей и подключает их к множеству хакерских ресурсов, повышая их знания и рост в области кибербезопасности.
🔸Модульная и декларативная природа дистрибутива делает его подходящим для широкого круга пользователей, от профессионалов до любителей и других профилей.

Как защититься от XSS с помощью Content Security Policy? 🏴‍☠️

В новой статье рассмотрим, как настроить Content Security Policy (CSP) для защиты ваших веб-приложений от атак типа Cross-Site Scripting (XSS).

Содержание статьи:
🙂 Что такое CSP и почему его важно правильно настроить
🙂 Основные директивы CSP и их использование
🙂 Как предотвратить XSS-атаки с помощью CSP
🙂 Примеры настройки политики и инструменты для проверки уязвимостей

С CSP можно не только предотвратить загрузку вредоносных скриптов, но и обеспечить защиту от других потенциальных угроз. Так что, если вы хотите защитить свой сайт и избежать частых ошибок, эта статья — для вас!

➡️ Читать подробнее

🍁 Открытие осеннего сезона и новые задания на платформе Codeby Games!

Сезонный рейтинг:
С сегодняшнего дня вы можете побороться за лидирующие позиции рейтинга в новом сезоне на нашей платформе. Не упустите шанс провести осень с пользой, прокачать свои навыки и стать лучшим среди лучших!

Призы:
🥇1 место — Flipper Zero, любой курс Академии Кодебай, 1 год подписки на Codeby Games
🥈2 место — любой курс Академии Кодебай, 3 месяца подписки на Codeby Games
🥉3 место — любой курс Академии Кодебай, 3 месяца подписки на Codeby Games
4-10 место — 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на Codeby Games

📆 Сезон завершается 30 ноября
————————————
Новые задания:

🖼 Категория Стеганография — Зоопарк

🏆  Категория Квесты — Договор

🔎 Категория OSINT — Взгляд в прошлое

🚩 Желаем каждому провести осенние дни с комфортом и отличным настроением и до встречи на Codeby Games!

🚩 KubanCTF: осталось меньше недели до старта отборочных соревнований!

Вы еще успеваете присоединиться к соревнованиям: для этого вам необходимо зарегистрироваться на сайте https://kubanctf.ru, на главной странице платформы создать свою команду.

⏰ Старт: 14 сентября в 10:00 по МСК. Продолжительность 8 часов

👥 Формат: Jeopardy (Classic). Участвуй самостоятельно или собери команду до 5 человек.

По итогам отборочного тура 10 лучших команд попадут в финал соревнований Kuban CTF в формате Attack-Defense, который пройдет 24 и 25 октября в рамках международной конференции по информационной безопасности Kuban CSC 2024 на Федеральной территории Сирус в отеле «Radisson Collection Paradise Resort & SPA».

💰Общий призовой фонд для победителей финала соревнований составит 1 миллион рублей!

Соревнования на CTFtime

➡️ Ссылка на регистрацию в соревнованиях Kuban CTF: https://kubanctf.ru/signUp

Интервью с профессиональным пентестером и не только... В видео от Академии Кодебай! 👀

Про свой карьерный трек в ИБ и Purple Team - в видео-интервью рассказывает Павел Никитин (BlackRabbit)

Курс «Анализ защищенности инфраструктуры на основе технологий Active Directory» начинается 23 сентября.
➡️ Подробнее по ссылке

🚀 @Codeby_Academy

Сканер Nikto 🖥

Nikto - это мощный сканер веб-сервера, который делает его одним из лучших инструментов Kali Linux.

Он проверяет потенциально опасные файлы/программы, устаревшие версии сервера и многое другое.
Сканер с открытым исходным кодом, написаный Chris Sullo. Его можно использовать с любым веб-сервером (Apache, Nginx, IHS, OHS, Litespeed и т.д.) 👩‍💻 🖥

Работа Nikto включает в себя сканирование более чем 6700 элементов для обнаружения неверной конфигурации, опасных файлов и т.д.

Некоторые функции приложения:

🔸Отчёт в форматах HTML, XML, CSV.
🔸Поддержка SSL.
🔸Сканирование портов на сервере.
🔸Поиск субдоменов
🔸Вывод пользователей Apache
🔸Проверка на устаревшие компоненты
🔸Обнаружение хостинга

Для проверки узла используется команда 👩‍💻

nikto -h <IP>

Привет, Codeby! 😎

Что такое реверс-инжиниринг (обратная разработка)?

⏺️Исследование некоторого готового устройства или программы, а также документации на него с целью понять принцип его работы.

🌚 Вот несколько полезных утилит для Revesrse Engineering:

x64dbg - открытый дебаггер с графическим интерфейсом.

WinDbg - многоцелевой дебаггер для операционной системы Windows, распространяемый корпорацией зла Microsoft.

Radare2 - Фреймворк для обратного проектирования и анализа двоичных файлов.

Ghidra - Полезный интсрумент разработанный Агенством Национальной Безопасности США.

Почему сюда не вошла IDA Disassembler?

Бесплатная версия сильно урезана, так, например, в бесплатной версии можно работать только с x86 архитектурой, так же утилита не поддерживает плагины.

🖥 Уязвимость в Office раскрывает хеши NTLM

⏺️Microsoft сообщила об уязвимости в разных версиях Office, которая может позволить злоумышленнику получить доступ к NTLM-хешам.

Уязвимость получила код CVE-2024-38200 и представляет собой проблему раскрытия информации, дающую возможность неавторизованным пользователям добраться до защищенных данных. Под угрозой оказались 32- и 64-битные версии Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise.

🌚 Microsoft считает, что вероятность эксплуатации этой уязвимости невысока, но MITRE предупреждает, что такие проблемы часто становятся мишенью для атак.

Основы кибербезопасности — бесплатный курс для изучения ИБ от корпорации зла Microsoft 👩‍💻

⏺️О чём этот курс 📚
🔐 Базовые концепции кибербезопасности, такие как триада ЦРУ, различия между рисками, угрозами и т. д.
🛡 Разберитесь, что такое проверка безопасности и какие формы она принимает.
🌐 Поймите, что такое «нулевое доверие» и почему это важно для современной кибербезопасности.
🔑 Понимание ключевых концепций и тем в области идентификации, сети, операций безопасности, инфраструктуры и безопасности данных.
🔧 Приведите несколько примеров инструментов, используемых для реализации мер безопасности.

🌚 Ссылка на чтиво:
https://github.com/microsoft/Security-101

Недавно нефтесервисная компания Halliburton подверглась вымогательской атаке, которая парализовала часть систем и привела к утечке данных. В компании работают более 55 000 сотрудников в 70+ странах, и атакующие получили доступ к корпоративным системам.

🌚 Пока масштабы утечек не уточняются, но Halliburton активировала план реагирования, начала внутреннее расследование и привлекла внешних ИБ-экспертов. Некоторые системы были отключены, также подключены правоохранительные органы.

⚠️ Киберугрозы в госструктурах

На Восточном экономическом форуме эксперты Positive Technologies представили исследование киберугроз в госсекторе с 2022 по первую половину 2024 года. Шифровальщики остаются одной из главных угроз, хотя в 2024 году их успешные атаки снизились на 4% по сравнению с 2023 годом.

⏺️Госструктуры привлекают хакеров из-за больших объемов конфиденциальной информации и зависимости от цифровых каналов.

🌚 48% атак нарушают работу, а утечки данных увеличились с 41% в 2023 году до 48% в 2024 году. Использование малвари также растет: 48% в 2022 году, 57% в 2023 и 68% в 2024.

👩‍💻 Google закрыла 34 уязвимости в Android

Google выпустила обновление безопасности для Android, закрыв 34 уязвимости, включая серьёзную CVE-2024-32896. Эта ошибка, оценённая на 7,8 балла по шкале CVSS, позволяет хакерам обойти защиту Android и повысить привилегии.

⏺️Для атаки нужно взаимодействие с пользователем, что ограничивает её распространение.

Проблема была исправлена на устройствах Pixel ещё в июне, а теперь защита доступна и для других устройств на Android 12, 12L, 13 и 14.

#byapsecurity

🌟Мнение пентестера AP Security об обучении на отечественных курсах.

Вот и подошёл к концу увлекательный путь прохождения курса «Анализ защищенности инфраструктуры на основе технологий Active Directory» от RalfHacker (Автор известной книги "Active Directory глазами хакера") и Павла Никитина. Мы учились первым потоком и отработали всё на твёрдую пятёрку.

В нашей компании есть хорошая практика регулярно повышать свою квалификацию, а в связи с уходом многих зарубежных сертификаций с рынка отличной возможностью стало попробовать отечественные наработки. К тому же я давно пытался освоить тему внутреннего пентеста прочтениями разных циклов статей, например от zer1to , прохождением лабораторных по типу GOAD. Но это большого успеха не приносило, это всё не структурировано, нет отработки большинства тем на практике, нет передачи накопленного опыта на реальных практических кейсах и учениях.

Реальное понимание и подход к похеку внутрянки я приобрёл за эти 3 месяца. После прохождения курса у меня появилась отличная база заметок по каждой тактике и технике, применяемой на пентесте, не удивительно, к каждому уроку были подготовлены методички ( примерно 30 страниц на каждом уроке ), видео прохождения лабораторной на отработку всех техник и Домашнее задание, на решение которого уходило 2-3 вечера после работы. К тому же появилась целая заметка тем, которые дополнительно стоит изучить, так сказать down the rabbit hole. Я справлялся почти всегда в сроки, в общей сложности я сделал 16 домашних заданий и сдал экзамен без больших трудностей, учитывая, что раньше я только несколько работал с атаками на домен во время пентестов, в основном я ломал веб, занимался разработкой и был уверенным игроком в ctf.

Крутым моментом стало освещение огромного количества утилит под различные платформы, теперь я точно не растеряюсь, если мне нужно будет релеить хеши на виндовом хосте. Огромное количество методов повышения привилегий , сбора УД, закрепления, туннелирование, обходов UAC, AMSI, ретрансляционные атаки, атаки на доверительные отношения, службы сертификации, делегирование, работа с C2 и это не весь список тем с которыми вам придётся столкнуться.

Подводя итог, хочется сказать только одно - огромное спасибо Мише и Паше за Лучший курс по внутрянке в стране, а может быть и в мире(кто знает..)