Codeby
35.9K subscribers
1.48K photos
92 videos
12 files
7.41K links
Блог сообщества Кодебай

Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.school
Пентест: codeby.one
CTF: hackerlab.pro

VK: vk.com/codeby
YT: clck.ru/XG99c

Сотрудничество: @KinWiz

Реклама: @Savchenkova_Valentina
Download Telegram
Don't worry, enter your password🎃

Zphisher


Zphisher - утилита предназначена для фишинговых атак, иструмент в умелых руках может пользоваться большим спросом среди пентестеров. Например, для оценки компитентности сотрудников.
P.S. Zphisher прекратил поддержку ngrok, поэтому его поддержку я добавил от себя и постарался сделать максимально удобно.


💻Установка:
git clone https://notabug.org/Delifer313/Zphisher

cd Zphisher


💻Запуск:
bash zphisher.sh


Выбираем нужный сервис, порт рекомендую не менять и ngrok, если вы пользуетесь чем-то другим, используйте то что вам удобнo. В нашем случае вам откроется новое окно с активным ngrok,где вы сможете получить ссылку, а на втором окне видеть кто зашёл и что ввёл.

Ссылка на мою версию с поддержкой ngrok: https://notabug.org/Delifer313/Zphisher

К сожалению во время тестирования, ngrok заблокировал мой аккаунт за фишинг, так что, как я и говорил "ngrok строго следит за тем, что на нём запускают"
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥5❤‍🔥3🥰1
Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать? 💬 Научим на курсе “Атака на Active Directory"

Запись до 26 декабря.
Присоединиться: https://clck.ru/3FJAgv

Содержание курса:
🙂 Архитектура AD и ее базис
🙂 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🙂 Как закрепиться внутри? Техники и эксплоиты

➡️ практическая лаборатория AD содержит более 30 виртуальных машин, позволяя участникам отточить свои навыки на практике в 100+ рабочих тасках

🚀Пишите нам @Codeby_Academy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍65❤‍🔥2👏2
5 камней бесконечности в Firefox

Один из популярных инструментов для тестирования безопасности — это браузер Firefox. В отличие от других браузеров, Firefox поддерживает множество полезных расширений, которые помогают специалистам по безопасности эффективно проводить пентесты.

Полезные расширения для пентеста

🧹 Камень реальностиWappalyzer
Wappalyzer позволяет определить, какие платформы, фреймворки, серверы и другие технологии используются на сайте. Это важно, так как знание используемых технологий помогает сосредоточиться на наиболее уязвимых компонентах системы.

🧹 Камень пространстваFoxyProxy
FoxyProxy — это расширение, которое позволяет легко управлять прокси-серверами. FoxyProxy упрощает настройку прокси, делая процесс тестирования более гибким и удобным. Это особенно полезно при использовании различных инструментов, таких как Burp Suite или OWASP ZAP, для анализа трафика.

🧹 Камень силыHackTools
HackTools — это набор инструментов для проведения атак на веб-приложения. Он включает в себя возможности для манипуляции HTTP-запросами, управления сессиями, а также проведения различных атак, таких как SQL-инъекции, XSS и другие.

🧹 Камень разумаLive HTTP Headers
Позволяет отслеживать и анализировать HTTP-заголовки, которые передаются между клиентом и сервером.

🧹 Камень душиCookie-Editor
Cookie-Editor позволяет легко управлять cookies, используемыми на веб-сайтах. Он предоставляет удобный интерфейс для просмотра, редактирования, добавления и удаления cookies, что особенно полезно для тестирования и разработки веб-приложений.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍31🔥13❤‍🔥44👾1
В чем отличие CVE и CWE

▶️CVE (Common Vulnerabilities and Exposures) – это список известных уязвимостей и дефектов безопасности
Пример: CVE-2024-51378 - конкретная уязвимость в СyberPanel, которая позволяет злоумышленникам обходить аутентификацию и выполнять произвольные команды.

▶️CWE (Common Weakness Enumeration) – общий перечень дефектов (недостатков) безопасности.
Пример: CWE-89 относится ко всем SQL-инъекциям — конструктивному недостатку, открывающему путь для атак на базу данных.

💠 Ключевое различие
Главное отличие между CVE и CWE заключается в их назначении.
💠 CVE описывает факт существования конкретной уязвимости. Это запись, которая указывает на проблему в определённой версии программного обеспечения.
💠 CWE описывает причину возникновения уязвимости, предоставляя классификацию и систематизацию дефектов, которые часто становятся источниками проблем безопасности.

💠 Пример взаимосвязи CVE и CWE
Возьмём CVE-2024-51378, упомянутый ранее. Эта уязвимость в CyberPanel может быть связана с конкретными CWE, например:
💠 CWE-287 (Недостаточная аутентификация) — основная причина, по которой атакующий может обойти проверку подлинности.
💠 CWE-78 (Неправильная нейтрализация специальных элементов в системных командах) — причина, по которой злоумышленник может выполнять произвольные команды.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👍155😁3👾1
В мире кибербезопасности список OWASP TOP 10 – это своего рода «мастхэв» для всех, кто занимается разработкой и защитой веб-приложений 💎

Этот документ, подготовленный Open Web Application Security Project, освещает самые критические уязвимости, способные превратить ваш проект в лёгкую добычу для злоумышленников.

Почему это важно? В списке собраны наиболее опасные уязвимости, их последствия и рекомендации по устранению. Даже спустя несколько лет после последнего обновления (2021 год), он остаётся актуальным. К слову, новое издание OWASP TOP 10 ожидается в первой половине 2025 года.

Какие угрозы включены в список?
🔸 Нарушение контроля доступа (Broken Access Control)
🔸 Сбои в криптографии (Cryptographic Failures)
🔸 Внедрение кода (Injection)
🔸 Небезопасное проектирование (Insecure Design)
🔸 Небезопасная конфигурация (Security Misconfiguration)
🔸 Уязвимые и устаревшие компоненты (Vulnerable and Outdated Components)
🔸 И многое другое.

В новой статье разберём каждую из этих уязвимостей: что она из себя представляет, к чему может привести и как её предотвратить.

➡️ Читать подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
15👍7🔥6👾1
Специалисты Positive Technologies обнаружили атаку группировки Cloud Atlas, которая нацелена на организации в России и Белоруссии с 2014 года. Злоумышленники продолжают совершенствовать свои тактики, техники и используемое ВПО. Использование Google Sheets в качестве С2 сервера является важной особенностью рассмотренной кампании и отличает ее от предыдущих атак.

🔗 Цепочка заражения:

✉️ Получение первоначального доступа происходит через фишинговую компанию с адресов internet[.]ru. Письма содержат запросы о предоставлении определенного рода информации, направленные различными "государственными ведомствами". Во вредоносных документах используется техника удаленной загрузки шаблона, ссылка на который вшита в один из файлов, из которых состоит документ формата doc.

🌐 При запуске вредоносного документа отправляется GET-запрос к C2, в ответ на который сервер возвращает файл типа application/hta. Далее загружаемый шаблон эксплуатирует уязвимость в компоненте Equation Editor, входящую в состав Microsoft Office. Далее HTA-файлы используются для доставки на зараженные узлы других инструментов злоумышленников.

😮 При анализе атаки был обнаружен факт выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов. VB-скрипты взаимодействуют с C2-сервером, в качестве которого используется документ Google Sheets.

⬇️ Скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде. В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas (бэкдор PowerShower). Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex.

Само ВПО представляет собой загрузчик конечных функциональных модулей, которые хранятся на «Яндекс Диске». Загрузчик закрепляется в системе посредством создания запланированной задачи с именем CiscoMngr.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍1210👾1
Lemme know your password

BlackPhish

BlackPhish - утилита предназначена для фишинговых атак, принцип его работы схож с Zphisher, за исключением того, что в обоих проектах не работает ngrok. BlackPhish уступает по кол-ву сервисов по сравнению с Zphisher.
P.S. Работа ngrok также восстановлена, однако установить его вам придётся самим


💻Установка:
git clone https://notabug.org/Delifer313/BlackPhish

cd BlackPhish


👩‍💻Запуск:
sudo python3 BlackPhish.py


Ссылка на мою версию с поддержкой ngrok: https://notabug.org/Delifer313/BlackPhish

Вам необходимо иметь на борту установленный и рабочий ngrok для возможного запуска на сервисе ngrok.
Please open Telegram to view this post
VIEW IN TELEGRAM
👏16👍7🔥7👾1
EVE-NG — мощный инструмент для сетевых инженеров и специалистов по безопасности, который позволяет моделировать сети и тестировать сценарии атак в виртуальной среде.

В новой статье расскажем, как настроить виртуальную лабораторию для моделирования корпоративной сети и протестировать популярную атаку ARP Spoofing.

✏️ ARP Spoofing — это тип атаки на уровне L2, при котором злоумышленник отправляет ложные ARP-запросы в локальную сеть, связывая свой MAC-адрес с IP-адресом жертвы. Это позволяет перехватывать данные, создавать Man-in-the-Middle атаки или даже перенаправлять трафик на другой хост.

О чем пойдет речь:
🔸 Как развернуть EVE-NG и настроить тестовую инфраструктуру с Kali Linux, Windows 7 и файрволлом.
🔸 Пошаговая настройка сети и запуск тестовых машин.
🔸 Моделирование ARP Spoofing: сканирование подсети, перехват трафика с помощью Wireshark и арсенал утилит Kali.
🔸 Методы защиты от атак на уровне ARP и практические рекомендации для предотвращения Man-in-the-Middle атак.

Читайте полную статью, чтобы узнать, как эффективно использовать виртуальные среды для изучения кибератак! 😎
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19❤‍🔥8👏4👾2
C2 в изолированных средах браузера. Компания Mandiant продемонстрировала новую технологию, которую можно использовать для обхода всех существующих типов изоляции браузера с целью управления вредоносным ПО с помощью C2.

🌐 Типы изоляции браузера:
⏺️Удаленная изоляция браузера — наиболее безопасный и распространенный вариант, при котором браузер изолируется в облачной среде.
⏺️Локальная изоляция браузера, но браузер в изолированной среде запускается локально. Преимущество этого подхода в том, что доступ к локальным веб-приложениям можно получить без сложного подключения к облаку.
⏺️Локальная изоляция браузера, или изоляция браузера на стороне клиента, позволяет запускать браузер в изолированной среде в локальном контейнере или на виртуальной машине.

✏️ Таким образом, используя первые два типа изоляции, в локальный браузер пользователя отправляется только визуальное представление веб-страницы (поток пикселей), тем самым, предотвращая типичную связь импланта с С2 сервером.

😳 Отправка данных C2 Через Пиксели:
1️⃣ Вместо того, чтобы возвращать данные C2 в заголовках или теле HTTP-запроса, сервер C2 возвращает корректную веб-страницу, на которой визуально отображается QR-код.
2️⃣ Затем имплант использует локальный браузер без графического интерфейса (например через Selenium) для отображения страницы, делает скриншот и считывает QR-код для получения встроенных данных.
3️⃣ Используя машиночитаемые QR-коды, злоумышленник может отправлять данные с контролируемого им сервера на вредоносную программу, даже если веб-страница отображается в удалённом браузере.

❗️ Поскольку этот метод основан на визуальном содержимом веб-страницы, он работает во всех трёх типах изоляции браузера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥94❤‍🔥1👾1
This media is not supported in your browser
VIEW IN TELEGRAM
🚩 Новые задания на платформе Codeby Games!

🖼 Категория СтеганографияЛитературная аномалия

🎢 Категория РазноеСерьёзный таск

🌍 Категория ВебObject master

Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍85👏1🎅1👾1
Злоумышленники продолжают искать уязвимости в ПО, и недавно в их арсенале появилась интересная техника, связанная с объединением ZIP-архивов. Она позволяет обмануть системы защиты за счет того, что разные архиваторы по-разному интерпретируют структуры комбинированных ZIP-файлов.

Как это работает?
ZIP-файл состоит из трех ключевых частей: записей файлов, центрального каталога и записи конца каталога (EOCD). При объединении двух архивов в один программа для работы с ZIP может обработать только первую или вторую часть данных, в зависимости от особенностей её реализации.

Например:
🔸 Windows Explorer не откроет объединенный архив.
🔸 7zip покажет только содержимое первого архива.
🔸 WinRAR откроет второй архив с потенциальной угрозой.

Средства защиты могут "проглядеть" скрытую угрозу в объединенных архивах, оставляя вредоносный файл незамеченным.


Для обнаружения угроз важно использовать рекурсивные алгоритмы распаковки. Разделение архива на составные части и проверка каждого файла через песочницы (например, VirusTotal) позволяют обнаружить скрытые угрозы.

🔗 Читать полную статью
Please open Telegram to view this post
VIEW IN TELEGRAM
👍28🔥86👾1
🍭 Полный гайд по очистке данных

Windows 10 и 11 активно собирают данные о пользователях. Это может быть полезно для работы системы, но если вы хотите сохранить конфиденциальность или просто скрыть свои действия, эта статья поможет.

В новой статье собрали лучшие методы очистки следов вашей активности в системе, включая файлы, журналы, историю браузера и другие записи, которые могут вас выдать.

Что мы будем очищать?

1️⃣ Недавние файлы и программы
Windows хранит список недавно открытых файлов и использованных программ в меню «Пуск» и других местах. Мы расскажем, как полностью удалить этот список.

2️⃣ Подключённые USB-устройства
Система сохраняет информацию о всех USB-накопителях, подключённых к вашему ПК. Это может быть полезно для расследований, но иногда требуется убрать эти следы.

3️⃣ История браузера и кэш DNS
Ваша активность в Интернете оставляет следы как в браузере, так и в системе (через кэш DNS). Вы узнаете, как очистить их полностью.

4️⃣ Журналы событий Windows
Windows записывает все действия, от включения ПК до установки программ. Очистка журналов событий поможет скрыть технические действия.

5️⃣ Остатки удалённых файлов
Даже после удаления файлы оставляют за собой следы на жёстком диске. Специальные инструменты помогут стереть эти данные без возможности восстановления.

6️⃣ Автоматизация процесса очистки
Вы узнаете, как автоматизировать очистку с помощью CCleaner, BleachBit и встроенных средств Windows, а также как создать собственные скрипты.

Этот гайд поможет вам защитить приватность и очистить все возможные следы вашей активности. С его помощью вы сможете подготовить систему перед передачей другому человеку, защититься от излишнего контроля или просто поддерживать порядок в системе.

Читать статью полностью
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2410🔥6😁2👎1👾1
Smbexec: как работает и как обнаружить

Smbexec — это инструмент для выполнения команд на удаленных Windows-системах через SMB-протокол. Благодаря своим возможностям он стал популярным не только среди администраторов, но и среди злоумышленников. Однако, несмотря на мощь, Smbexec оставляет заметные следы, которые помогают его обнаружить.

Принцип работы
1️⃣ Аутентификация через SMB
Инструмент использует учетные данные (пароли или NTLM-хэши), чтобы аутентифицироваться и получить доступ к целевой машине от имени локального администратора.

2️⃣ Доступ к SCM (Service Control Manager)
Первый шаг после входа — открытие доступа к SCM с помощью команды OpenSCManagerW, где параметр MachineName всегда равен DUMMY.

3️⃣ Создание временной службы
Через CreateServiceW создается служба, запускающая команды, записанные во временный .bat файл.

Команда выглядит следующим образом:

%COMSPEC% /Q /c echo ipconfig > \\127.0.0.1\C$\output && %COMSPEC% /Q /c \\127.0.0.1\C$\execute.bat && del \\127.0.0.1\C$\execute.bat


4️⃣ Удаление временных файлов
После выполнения команды временные файлы удаляются, но логи Windows фиксируют ключевые этапы атаки.

Следы Smbexec в логах Windows
- 4697 — создание службы на целевой машине.
- 4688 — запуск процесса cmd.exe с аргументами из временного .bat файла.
- 5145 — проверка прав доступа к файлам на общем ресурсе (например, `output`).

Пример характерной записи:

%COMSPEC% /Q /c echo ipconfig > \\127.0.0.1\C$\output && %COMSPEC% /Q /c \\127.0.0.1\C$\execute.bat && del \\127.0.0.1\C$\execute.bat

Эти события легко объединяются в последовательность, позволяющую выявить использование Smbexec.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍84🤔1😢1👾1
🤩 Исследователи из Check Point раскрыли новый метод обхода защитных систем, используемый киберпреступниками. Злоумышленники активно эксплуатируют Google Calendar и Google Drawings, чтобы отправлять фальшивые приглашения с вредоносными ссылками.

Как работает атака?
🤩 Мошенники используют .ics-файлы, которые выглядят как легитимные приглашения от Google Calendar.
🤩 Они модифицируют заголовки отправителя, делая письма похожими на те, что отправлены от имени знакомого человека.
🤩 В приглашениях содержатся ссылки на поддельные Google Forms или Google Drawings.

После перехода по ссылке жертва попадает на фальшивую страницу, например, с поддельной поддержкой криптовалют или фейковым reCAPTCHA. Пользователей просят пройти "аутентификацию", ввести личные данные или реквизиты оплаты.

💳 Собранные данные используются для кредитного мошенничества, несанкционированных транзакций и взлома других аккаунтов жертвы .

Google рекомендует включить настройку "Только от известных отправителей" в Google Calendar. Она предупреждает пользователей о подозрительных приглашениях.


Дополнительные меры:
🤩 Используйте современные платформы email-безопасности для фильтрации фишинга.
🤩 Внедряйте MFA (многофакторную аутентификацию).
🤩 Мониторьте активность сторонних Google-приложений.
🤩 Настройте инструменты поведенческого анализа для выявления подозрительных попыток входа.

#новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👏15❤‍🔥63🤔3👍2🔥2🏆1
Кодебай, напоминаем о нашем чате! 😎

🔸 Обсуждение новостей из мира ИБ, обмен опытом
🔸 Ответы на вопросы от единомышленников
🔸 Живые дискуссии и полезные материалы

Присоединяйтесь и станьте частью активного инфобез-сообщества!
➡️ https://t.me/codeby_one

Ждём всех! 🚩
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥98👎1🎉1👾1
Исследователи Reversing Labs сообщают, что вредоносные расширения на маркетплейсе VSCode впервые появились в октябре. Кампания включает в себя 18 вредоносных расширений, ориентированных в первую очередь на инвесторов в криптовалюту и разработчиков.

💱 Для повышения легитимности и доверия к расширениям злоумышленники добавляют фальшивые отзывы и завышают количество установок.

🚨 Список вредоносных расширений:
⏺️EVM.Blockchain-Toolkit
⏺️VoiceMod.VoiceMod
⏺️ZoomVideoCommunications.Zoom
⏺️ZoomINC.Zoom-Workplace
⏺️Ethereum.SoliditySupport
⏺️ZoomWorkspace.Zoom (three versions)
⏺️ethereumorg.Solidity-Language-for-Ethereum
⏺️VitalikButerin.Solidity-Ethereum (two versions)
⏺️SolidityFoundation.Solidity-Ethereum
⏺️EthereumFoundation.Solidity-Language-for-Ethereum (two versions)
⏺️SOLIDITY.Solidity-Language
⏺️GavinWood.SolidityLang (two versions)
⏺️EthereumFoundation.Solidity-for-Ethereum-Language

✏️ Исследователи сообщают, что все расширения имеют одинаковую вредоносную функцию и дополнительные файлы, поставляемые с ними представляют из себя обфусцированные скрипты .bat или .cmd, которые скрытно запускают Powershell. Скрипт же, в свою очередь, расшифрует строки, зашифрованные с помощью AES, чтобы внедрить дополнительные вредоносные программы в скомпрометированную систему и запустить их.
При этом происходит взаимодействие со следующими доменами: microsoft-visualstudiocode[.]com и captchacdn[.]com.
Please open Telegram to view this post
VIEW IN TELEGRAM
18🔥8👍6👾1
⬇️ Что такое SOP и как она работает?
Веб-приложения и данные пользователей постоянно подвергаются угрозам. Сегодня расскажем про один из фундаментальных механизмов защиты — Same-Origin Policy.


Если вы работаете с вебом, знаете про CSRF, или просто хотите лучше понимать, как браузеры защищают наши данные, то новая статья для вас!

Что такое SOP?

Это "политика одинакового источника", которая определяет, может ли ресурс (например, скрипт или страница) взаимодействовать с другим ресурсом из другого источника.

Источник (origin) — это комбинация:
🤩 Схема (protocol): HTTP или HTTPS
🤩 Хост (host): доменное имя, например, example.com
🤩 Порт (port): стандартные — 80 для HTTP и 443 для HTTPS

Политика SOP блокирует попытки взаимодействия между разными источниками, если они не полностью совпадают по всем этим параметрам.

Как это защищает данные?
Представьте, что ваш браузер авторизован в интернет-банке (bank.com), а злоумышленник хочет украсть ваши сессионные cookie с помощью поддельного сайта (hacker.com). Без SOP ваш браузер мог бы отправить данные сессии злоумышленнику. SOP предотвращает это, блокируя запросы с hacker.com к bank.com.

➡️ Читать статью полностью
Please open Telegram to view this post
VIEW IN TELEGRAM
❤‍🔥14👍92🔥2👏2👾1
Они оставили след... Как найти его с помощью VSSAdmin

Кибератаки становятся всё сложнее, а злоумышленники всё чаще используют встроенные инструменты Windows. Разберём, как через VSSAdmin и командную строку они получают доступ к данным и обходят защиту системы.

‼️Цепочка подозрительных действий‼️

Атака начинается с команды, запускающей процессы для создания теневых копий и доступа к защищённым данным. Рассмотрим последовательность шагов:

Создание процессов через командную строку
1️⃣Злоумышленник инициирует процесс через cmd.exe, который выполняет команды для работы с теневыми копиями (Shadow Copies).
shell C:\windows\system32\cmd.exe /Q /c echo c:\windows\system32\cmd.exe /C vssadmin create shadow /For=C: *> SYSTEMROOT:\Temp\output > TEMPS\execute.bat

Основной инструмент здесь — vssadmin. Он используется для управления теневыми копиями, включая их создание, удаление и просмотр.

2️⃣Доступ к критически важным файлам
После создания теневой копии злоумышленник получает доступ к ключевым системным файлам, таким как:
- NTDS.dit — база данных Active Directory, содержащая учётные записи пользователей.
- SAM (Security Account Manager) — файл, содержащий хэши паролей пользователей.

Для копирования файлов используется команда copy с доступом к теневым копиям через пути, подобные \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy.

3️⃣Автоматизация удаления следов
После выполнения команды создаётся временный файл execute.bat, в котором хранятся действия злоумышленника. Для удаления следов после выполнения задачи файл автоматически стирается командой:

👀Ключевые индикаторы компрометации (IoC)👀

1️⃣Запись в журнал событий
В системных журналах Windows можно найти записи о запуске процессов (Event ID 4688). Например, создание процесса с командой:
C:\windows\system32\cmd.exe /C vssadmin list shadows

Эти события указывают на использование vssadmin и вызывают подозрения, особенно если команда выполняется вне запланированных системных задач.

2️⃣Удалённый доступ

Злоумышленник может использовать такие утилиты, как secretsdump.py или mmcexec, для извлечения хэшей паролей с удалённых машин. Это сопровождается событиями:
- 4624 — удалённый вход.
- 5145 — проверка прав доступа к удалённым сервисам, включая winreg.

3️⃣Удаление теневых копий

После завершения атаки часто наблюдаются команды для удаления всех созданных копий:
vssadmin delete shadows /For=C: /Quiet

Используемые инструменты
1. VSSAdmin — утилита для работы с теневыми копиями, нередко используемая злоумышленниками.
2. secretsdump.py — инструмент Impacket для извлечения хэшей паролей и данных.
3. mmcexec — утилита для выполнения удалённых команд через Management Console.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍247🔥5👎4👏1😁1👾1😡1
Common Vulnerability Scoring System (CVSS) — открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления.

CVSS включает три группы метрик: базовые (Base), временные (Temporal) и контекстные (Environmental). Обычно используются базовые метрики, так как они описывают основные характеристики уязвимости.

Базовые метрики оценивают основные характеристики уязвимости:

1⃣ Access Vector (AV) — положение атакующего
• Local (L) (0,395): требуется физический доступ или локальная учетная запись.
• Adjacent (A) (0,646): доступ через локальную сеть или домен коллизий.
• Network (N) (1): доступ через сеть.

2⃣ Access Complexity (AC) — сложность атаки
• High (H) (0,35): сложные условия (гонка, соц. инженерия).
• Medium (M) (0,61): доп. требования (специальная конфигурация).
• Low (L) (0,71): минимальные требования.

3⃣ Authentication (Au) — число аутентификаций
• Multiple (M) (0,45): дважды или более.
• Single (S) (0,56): один раз.
• None (N) (0,704): не требуется.

4⃣ Confidentiality (C) — влияние на конфиденциальность
• None (N) (0): нет влияния.
• Partial (P) (0,275): частичное раскрытие данных.
• Complete (C) (0,660): полное раскрытие.

5⃣ Integrity (I) — влияние на целостность
• None (N) (0): нет влияния.
• Partial (P) (0,275): ограниченные изменения данных.
• Complete (C) (0,660): полное изменение данных.

6⃣ Availability (A) — влияние на доступность
• None (N) (0): нет влияния.
• Partial (P) (0,275): частичная деградация.
• Complete (C) (0,660): полная недоступность ресурса.

Пример расчета BaseScore

Оценка BaseScore рассчитывается по следующим формулам. Значения для параметров выбираются из таблицы, приведенной выше. Дробные результирующие числа следует округлять до первого десятичного разряда, что ниже выражается через функцию roundTo1Decimal. Подробнее о формулах можно почитать ЗДЕСЬ
Exploitability = 20 × AccessVector × AccessComplexity × Authentication
Impact = 10,41 × ( 1 − ( 1 − C ) × ( 1 − I ) × ( 1 − A ) )
BaseScore = roundTo1Decimal ( ( ( 0 , 6 × Impact ) + ( 0 , 4 × Exploitability ) − 1 , 5 ) × f( Impact ) )
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2210🔥6👾1
✏️ Персональные данные — это информация, которая прямо или косвенно позволяет идентифицировать физическое лицо. С развитием технологий и увеличением объема обрабатываемых данных, вопросы их защиты становятся особенно актуальными.

✏️ Информационная система персональных данных — это совокупность данных и технологий, обеспечивающих обработку ПДн. Однако важно не только собирать и хранить такие данные, но и защищать их от утечек и злоупотреблений.

Какие органы регулируют защиту ПДн в России?
🔸 ФСБ — отвечает за защиту ПДн в контексте национальной безопасности.
🔸 ФСТЭК — устанавливает технические стандарты для защиты данных, включая те, которые могут быть государственной тайной.
🔸 Роскомнадзор — следит за соблюдением законов о персональных данных и принимает меры по защите прав граждан.
🔸 Минцифры — разрабатывает нормативные акты и стандарты для цифровых технологий.

Ключевые нормативные акты:
🔸 Закон о персональных данных (152-ФЗ) — регулирует обработку и защиту данных.
🔸 Приказ №21 ФСТЭК — устанавливает требования по безопасности ПДн при их обработке в информационных системах.
🔸 Постановление №1119 — вводит классификацию угроз и требования к защите данных.

Почему важно защищать ПДн?
Необработанные данные, особенно чувствительные (например, медицинские или биометрические), могут стать объектом кражи, манипуляции или даже шантажа. Поэтому защита данных — это не только соблюдение законодательства, но и важная составляющая безопасности.

🔗 Читать полный материал
Please open Telegram to view this post
VIEW IN TELEGRAM
18👍13🔥7👎3🤯1💔1👾1😡1