Кодебай, привет! Напоминаем, на каких курсах начинается обучение в январе 😎

Старт 20 января:
⭐️ Курс «Специалист по тестированию на проникновение в информационные системы» — освоить новую профессию за 10 месяцев!
🌟 Курс «Устройства для тестирования на проникновение»
🌟 Курс «SQL-Injection Master»
🌟 Курс «Основы программирования на Python» — самый популярный ЯП с нуля за 2 месяца! 🐍
🌟 Курс «Анализ защищенности приложений Андроид»
🌟 Курс «Git. Система контроля версий»

Запись на курс «Django - разработка веб-приложений» продлится до 23 января! После прохождения курса вы сможете разрабатывать с нуля сайты на Django, верстать интерфейсы, и создавать интеграцию с бэкендом приложения.

🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Критическая уязвимость нулевого дня в Ivanti активно эксплуатируется в реальной среде

Национальный центр кибербезопасности Великобритании (NCSC) и его американский аналог (CISA) призвали пользователей Ivanti срочно принять меры для устранения двух новых уязвимостей, одна из которых уже активно используется злоумышленниками.

CVE-2025-0282
🔸 Тип: Нулевой день
🔸 CVSS: 9.0 (Критическая)
🔸 Риски: Удаленное выполнение кода (RCE) без аутентификации
🔸 Затронутые продукты:
- Ivanti Connect Secure (до версии 22.7R2.5)
- Ivanti Policy Secure (до версии 22.7R1.2)
- Ivanti Neurons for ZTA (до версии 22.7R2.3)

CVE-2025-0283
🔸 Тип: Эскалация привилегий
🔸 Риски: Локальная атака с повышением прав
🔸 Затронутые продукты: Те же версии, что и в CVE-2025-0282

Исследователи Microsoft и Google Mandiant обнаружили, что CVE-2025-0282 активно эксплуатируется начиная с декабря 2024 года.

🔔 Рекомендации Ivanti и агентств безопасности:
1. Запустите инструмент Integrity Checker Tool (ICT) для проверки на компрометацию.
2. При обнаружении компрометации немедленно сообщите в NCSC или CISA.
3. Выполните сброс настроек до заводских и установите последние обновления для Ivanti Connect Secure.
4. Проверьте конфигурацию Ivanti Policy Secure, чтобы она не была доступна из интернета.
5. Для ZTA gateways избегайте подключения незакрепленных шлюзов к контроллеру.
6. Выполняйте непрерывный мониторинг и поиск угроз.

✏️ Обновления уже доступны для Ivanti Connect Secure. Для Policy Secure и ZTA gateways исправления выйдут 21 января.

Ivanti ранее сталкивалась с высокоопасными уязвимостями, включая обход аутентификации, обнаруженный менее года назад. Эти инциденты подчеркивают необходимость оперативной реакции на угрозы.

#новости

🤖 C2-серверы (Command & Control) — важный элемент атак злоумышленников, позволяющий управлять скомпрометированными устройствами, перемещаться по сети и эксфильтрировать данные.
Одним из интересных представителей таких серверов является Havoc — кроссплатформенный фреймворк с открытым исходным кодом.

Что мы разобрали в статье:
🔸 Как установить Havoc и настроить серверную часть.
🔸 Создание Listener для подключения агентов.
🔸 Генерация агентов в различных форматах: .exe, .dll, шеллкод.
🔸 Управление подключениями, просмотр логов и удобный графический интерфейс.
🔸 Выполнение команд на удаленной машине через сессию.

👾 Havoc — мощный инструмент для тестирования безопасности, с удобными функциями, такими как Process Explorer и File Explorer, что делает работу интуитивной и эффективной.

🔔 Для детального гайда по установке и использованию Havoc переходите в статью!

Sploitus

Sploitus — это удобное центральное место для идентификации новейших эксплойтов и поиска атак, использующих известные уязвимости. Поисковая система также является хорошим ресурсом для поиска инструментов безопасности и обнаружения уязвимостей. На нём даже выкладываются уязвимости недели - самые новые уязвимости, которые мы можем попробовать прямо сейчас. При изучении страницы с уязвимостью мы видим несколько возможностей, а именно: копировать код, скачать его, посмотреть источник, поделиться страницей. Используя поисковое окно, можно находить много скриптов связанных с обнаруженной уязвимостью.


⏺️Ссылка на ресурс: sploitus.com

Shodan

Shodan - поисковая система, позволяющая пользователям искать различные типы серверов (веб-камеры, маршрутизаторы, серверы и так далее), подключённых к сети Интернет, с использованием различных фильтров. Shodan собирает данные главным образом о веб-серверах HTTP/HTTPS (порты 80, 8080, 443, 8443), а также FTP (порт 21), SSH (порт 22), Telnet (порт 23), SNMP (порт 161), IMAP (порты 143 или зашифрованный 993), SMTP (порт 25), SIP (порт 5060) и RTSP (порт 554). Последний протокол может использоваться для доступа к веб-камерам и их видеопотоку.

Сайт при помощи веб-краулеров сканирует Интернет в поисках общедоступных устройств. В настоящее время Shodan отображает 10 результатов поиска пользователям без учётной записи и 50 результатов тем, у кого она есть. Если пользователи хотят снять ограничение, они должны указать причину и заплатить взнос.

Основными пользователями Shodan являются профессионалы в области компьютерной безопасности, исследователи и правоохранительные органы. Но для более "хороших" результатов, Shodan требует наличие учётной записи, как говорилось ранее, на ресурсе, но и без регистрации shodan хороший поисковик, главно знать что просить.

Также Shodan был показан в американском драматическом сериале «Мистер Робот» в октябре 2017 года.

⏺️Ссылка на ресурс: shodan

Whois

Whois - предоставляет услуги по поиску информации в различных реестрах.
Whois сервисы можно разделить на 2 вида: Network service based и Name service based. Разница между ними в том, что первый нацелен на сетевую часть, второй - на доменное имя.
⏺️Network service based
Есть допустим сайт, coolhackers228.us После определения IP мы поймём, где находиться подсеть. А там уже мы будем использовать специальный реестр.

whois -h {РЕЕСТР} {IP}

Мы получим очень много полезной информации.
⏺️Name service Based:
Давайте посмотрим на вывод:

whois coolhackers228.us

И также получим много полезной информации.
Кстати, вам не обязательно использовать kali для доступа к whois, можно использовать онлайн решения, такие как:
nic.ru
who.is

Изучите создание устройств для пентеста на практике на курсе от Академии Кодебай! 😎

🗓 Старт: 20 января. Присоединиться: https://clck.ru/3FkYNm

Что вы получите после обучения?
🔸 Практические навыки работы с микроконтроллерами и микрокомпьютерами
🔸 Навыки сборки устройств для тестирования на проникновение
🔸 Актуальные знания по защитному функционалу

Курс создан для всех, кто хочет на практике изучить техники аудита систем ИБ и эксплуатации уязвимостей с помощью современных устройств.

✔️ Сертификат / удостоверение о повышении квалификации

🚀 По всем вопросам пишите: @Codeby_Academy

💬 Мы добавили чат на Codeby Games!

Теперь вы можете общаться с другими игроками прямо на платформе!

Без лишних переходов — обсуждайте, делитесь идеями и находите единомышленников.

➡️ https://codeby.games/

Новый троян под названием NonEuclid позволяет злоумышленникам удалённо управлять скомпрометированными системами Windows. Компания Cyfirma сообщила, что ВПО разработано на С# и предоставляет атакующим несанкционированный удаленный доступ с использованием передовых методов уклонения от обнаружения.

👀 Наблюдения показывают, что его популярность среди киберпреступников растёт, о чём свидетельствуют обучающие материалы и обсуждения в Discord и YouTube, указывающие на скоординированные усилия по распространению и расширению его использования в вредоносных операциях.

🖥 RAT начинается с этапа инициализации клиентского приложения, после чего выполняет ряд проверок, чтобы избежать обнаружения, прежде чем настроить TCP-сокет для связи с указанным IP-адресом и портом.

💱 ВПО также настраивает исключения для антивируса Microsoft Defender, чтобы артефакты не помечались как подозрительные. NonEuclid отслеживает запущенные процессы "Taskmgr.exe", "ProcessHacker.exe" и "procexp.exe" и, используя вызовы API Windows (CreateToolhelp32Snapshot, Process32First, Process32Next) проверяет совпадают ли запущенные в системе процессы с вышеперечисленными и при совпадении завершает их.

💰 Кроме того у трояна имеется функция шифрования файлов и их переименования с расширением «. NonEuclid», что фактически превращает программу в ransomware.

«NonEuclid RAT является примером растущей сложности современных вредоносных программ, сочетающих в себе передовые механизмы маскировки, функции защиты от обнаружения и возможности программ-вымогателей», — заявили в Cyfirma.

THE HARVESTER
Пакет содержит инструменты для сбора имен поддоменов, адресов электронной почты, виртуальных хостов, открытых портов/баннеров и имен сотрудников из различных общедоступных источников (поисковые системы, серверы ключей PGP).

Пакет инструментов уже предустановлен в Kali Linux.

💻Запуск:

theHarvester -h

⏺️Простая команда представленная ниже не даёт нам результатов, поэтому познакомимся в важными ключами:

theHarvester -d gnu.org

⏺️Лимит вывода будет очень полезен, если мы сканируем что-то большое:

theHarverster -d gnu.org -l 50 

⏺️Также можно увеличить вероятность поиска используя "источник", список я оставлю ниже:

theHarverster -d gnu.org -l 50 -b duckduckgo

⏺️Крутость этой программы, что она также может использовать shodan для получения информации:

theHarverster -d gnu.org -l 50 -b duckduckgo -s

⏺️И может также находить виртуальные хосты:

theHarverster -d gnu.org -l 50 -b duckduckgo -s -v

⏺️Ну и искать DNS-сервера:

theHarverster -d gnu.org -l 50 -b duckduckgo -s -v -n

⏺️Можно использовать метод грубой силы для DNS адресов на домене:

theHarverster -d gnu.org -l 50 -b duckduckgo -s -v -n -с {PATH}

Истоники:
anubis, baidu, bevigil, binaryedge, bing, bingapi, bufferoverun, brave, censys, certspotter, criminalip, crtsh, dnsdumpster, duckduckgo, fullhunt, github-code, hackertarget, hunter, hunterhow, intelx, netlas, onyphe, otx, pentesttools, projectdiscovery, rapiddns, rocketreach, securityTrails, sitedossier, subdomaincenter, subdomainfinderc99, threatminer, tomba, urlscan, virustotal, yahoo, zoomeye

Maltego

Maltego — это приложение для разведки и криминалистики с открытым исходным кодом. Оно предложит вам бережную добычу и сбор информации, а также представление этой информации в удобном для понимания формате, а именно визуализирует её в понятную схему.

💻 Установка:
Конечно можно установить и из базового репозитория, но я столкнулся с рядом проблем при такой установке, а именно отсутсвие трансформационного меню.

sudo apt install maltego

Поэтому мы заходим на официальный сайт и устанавливаем через deb пакет.

https://www.maltego.com/downloads/

dpkg -i maltego-***.deb

У нас попросят создать аккаунт, берём любой сервис по фейковым почтам и создаём аккаунт, если вас попросят ввести номер телефона, вводите рандомные числа, он его не станет проверять, точно также не станет проверять и организацию. Но если вы хотите в будущем использовать программу, тогда вводите валидные данные.

💻 Запуск:

maltego

После запуска мы увидим миллион окон, их все читать не обязательно, просто пропускайте их ничего не меняя. По началу можно потеряться в пользовательском интерфейсе, поэтому давайте вместе поймём как начать работать с программой.

1️⃣Для начала сделаем базовую разведку сайта, копируем доменное имя и вставляем его в раздел "Entity Palette"->"Infrastructure"->"Domain". У нас должен появится кружочек с нашим доменным именем.
🔤 Далее кликаем по нему ПКМ и выбираем трансформацию к нему. Я выберу "To mail addresses", мы получили email/gmail адреса, точно также можно найти и номера телефонов.

Самое интересное — расширения, их очень много и даже есть поисковик shodan. Но вам понадобиться API Key для его использования.

⚡️ Microsoft устраняет 8 уязвимостей нулевого дня в рамках январского Patch Tuesday 2025

Microsoft начала 2025 год с выпуска обновлений безопасности, закрывающих 8 уязвимостей нулевого дня, из которых 3 активно эксплуатируются злоумышленниками:

CVE-2025-21333, CVE-2025-21334 и CVE-2025-21335:

➡️Тип: Elevation of Privilege (EoP)
➡️Описание: Уязвимости в Windows Hyper-V NT Kernel Integration VSP с CVSS 7.8.

Несмотря на "не самый высокий" рейтинг, эксперты предупреждают о серьёзной угрозе из-за ключевой роли Hyper-V в Windows 11 (защита устройства, управление учетными данными).

Комментарий эксперта Immersive Labs, Кевина Брина:

«Если злоумышленник уже получил доступ к системе (например, через фишинг), эти уязвимости позволяют ему повысить свои привилегии до системного уровня, отключить защитные механизмы, похитить учетные данные и организовать дальнейшие атаки».

Другие исправленные уязвимости нулевого дня:
🔸 CVE-2025-21275: Проблема повышения привилегий в Windows App Package Installer
🔸 CVE-2025-21308: Спуфинг Windows Themes
🔸 CVE-2025-21186, CVE-2025-21366, CVE-2025-21395: Уязвимости удалённого выполнения кода (RCE) в Microsoft Access

Критические уязвимости с CVSS 9.8:
🔸 CVE-2025-21311: Повышение привилегий в Windows NTLM V1
🔸 CVE-2025-21307: RCE в Windows Reliable Multicast Transport Driver (RMCAST)
🔸 CVE-2025-21298: RCE в Windows OLE

⚙️ Рекомендации:
Microsoft устранила свыше 150 CVE за январь, поэтому админам важно автоматизировать процесс управления патчами. Без этого сложно справиться с текущими темпами выхода обновлений.

#новости

🔍Threat Intelligence. Зачем нужна киберразведка?

Threat Intelligence (TI или в простонародье «киберразведка») представляет собой процесс сбора, анализа и использования информации о киберугрозах, который помогает организациям лучше понимать риски и принимать обоснованные решения для защиты своих активов.

Основные компоненты TI:
🔸 Сбор данных: интеграция информации из различных источников, такие как открытые и закрытые форумы, социальные сети, различные сайты и т.д.
🔸 Анализ данных: собранные данные проходят определенную обработку с использованием различных технологий
🔸 Классификация угроз: по различным критериям классифицируются угрозы для разработки определенных мер защиты
🔸 Информационные дайджесты: предоставление регулярных отчетов о текущах киберугрозах, APT-группировок и т.д.

Так все же, зачем нужна киберразведка?

Threat Intelligence, в первую очередь, предотвращает кибератаки еще до их начала. С помощью TI можно предугадать возможные атаки на организацию, нарисовать портрет злоумышленника и развернуть соответствующие средства защиты информации на основе предоставленных данных.

Также на основе предоставленных данных от TI можно сократить время реагирования на кибератаку (Time to Response, TTR), поставив на особый мониторинг вредоносные IP-адреса, хэши, наименование файлов и т.д., которые одним словом называются индикаторы компрометации (Indicator of Compromise, IoC).

🪲Индикаторы компрометации и их влияние на мониторинг ИБ.

Индикаторы компрометации (IoC) – артефакты, которые могут указывать на наличие атак или возможных атак на инфраструктуру со стороны злоумышленников.

К ним относятся:
🔸 IP-адреса
🔸 URL
🔸 Хэш-сумма файлов
🔸 DNS запросы

Влияние IoC на мониторинг:

1️⃣ Обнаружение угроз
IoC позволяет быстро идентифицировать потенциальные угрозы, что важно для быстрого реагирования на кибератаки. На основе предоставленных индикаторов компрометации системы мониторинга могу непрерывно отслеживать активность в инфраструктуре на наличие IoC

2️⃣ Анализ инцидентов
При обнаружении IoC специалисты могут определить степень компрометации, предугадать возможный дальнейший исход событий и разработать определенный план реагирования на инцидент

3️⃣ Снижение False-сработок
Количество ложноположительных срабатываний уменьшается за счет предоставленных IoC, так как предоставляются конкретные данные о вредоносных активностей.

💵 Согласно отчёту аналитической компании Chainalysis, киберпреступники получили не менее $41 млрд с использованием криптовалюты. Ожидается, что эта сумма вырастет до $51 млрд, так как продолжается выявление новых адресов, связанных с преступной деятельностью.

Ключевые направления незаконной активности:
🔸 Организованные группы — крупные сети преступников, включая транснациональные.
🔸 Мошенничество и скамы — с каждым годом изощрённее.
🔸 Даркнет-рынки — оборот составил $2 млрд.
🔸 Кражи средств — прирост на 21% до $2.2 млрд.
🔸 Санкционированные юрисдикции — криптоактивы под контролем санкционных органов.

Снижение активности в отдельных категориях
➡️ Средства, поступившие на fraud-шопы, упали более чем на 50% – всего $220 млн.
➡️ Оборот даркнет-рынков также сократился по сравнению с 2023 годом.

Рост краж и влияние Северной Кореи
Из $2.2 млрд похищенных средств около $1.3 млрд украли северокорейские хакеры, которые остаются в авангарде кибератак, особенно на криптовалютные платформы и проекты.

Смена предпочтений в криптовалютах
🔸 Stablecoins стали фаворитом среди преступников — на их долю пришлось 63% всей незаконной активности.
🔸 Bitcoin, хоть и теряет популярность, всё ещё активно используется в схемах вымогательства и на даркнет-рынках.

Хотя преступная деятельность в криптопространстве остаётся заметной, общий объём таких транзакций составляет всего **0.14%** от всех операций за 2024 год.

Как преступники используют криптовалюту
➡️ Традиционные схемы: отмывание денег, торговля наркотиками и оружием. ➡️ Поликриминал: многоуровневые преступления, такие как торговля людьми и интеллектуальное пиратство.

#новости

🚩 Новые задания на платформе Codeby Games!

🕵️ Категория Форензика — Новый сотрудник

🏆 Категория Квесты — Самбо

🌍 Категория Веб — Творение безумца

Приятного хакинга!

🛠 Инструменты специалиста Threat Intelligence

Специалисты данной сферы используют различные инструменты для эффективного сбора, анализа и предоставления данных о киберугрозах.

Основные инструменты:

1️⃣ Threat Intelligence Platform (TIP)
Платформа, которые интегрируют данные из различных источников, обрабатывают и анализируют их с помощью различных технологий. TIP помогает определить, является ли предоставленные данные IoC’s, а также классифицировать угрозы, если данные все же является IoC’s. Самая распространенная платформа TI – VirusTotal.

2️⃣ Feeds
Фиды в контексте Threat Intelligence предоставляют собой канал для получения информации о киберугрозах, включая IoC. Они обеспечивают обогащение контекста для инцидентов и облегчают работу SOC

3️⃣ Анализаторы ВПО
Анализаторы вредоносного кода, такие как различные отладчики или песочницы, помогают специалистам определить поведение вредоносных программ и их тактики. Из распространенных отладчиков можно выделить IDA Pro, а из песочниц, которая обладает различным функционалом и удобна в использовании – ANY RUN

4️⃣ Матрица угроз
Самая распространенная матрица угроз в информационной безопасности - MITRE ATT&CK. Это база знаний о тактиках, техниках и процедурах (TTP) злоумышленников, которая используется специалистами для углубленного исследования действий атакующих и написания более точных отчетов, которые в дальнейшем используются специалистами смежных департаментов.

Social engineer Toolkit

Это набор инструментов для социальной инженерии, написанный специалистом в области кибербезопасности Дэвидом Кеннеди, предназначенный для выполнения сложных атак против человеческих слабостей. Такие атаки известны как "социальная инженерия".

Для запуска используем следующую команду (от root):

sudo setoolkit

➡️Принимаем пользовательское соглашение и нам открывается список возможностей, попробуем отправить письмо, выбираем пункт "Social-Engineering Attacks".
➡️Затем выбираем "Mass Mailer Attack".
➡️В следующем окне у нас есть возможность отправить письмо, либо группе людей, либо одному человеку. Отправим письмо одному человеку.
➡️Выбираем свой шаблон и тему и что наше сообщение будет простым текстом. Далее нас спросят использовать свою почту или использовать свой сервер. Выбираем удобный вариант (для нас пока что первый).
Отвечаем на вопросы и письмо отправлено.

Инструмент имеет большой функционал для атак рода "социальная инженерия":

🔸 Векторы фишинговых атак
🔸 Векторы атак на веб-сайты
🔸 Генератор зараженных медиа
🔸 Создание полезной нагрузки и прослушивателя
🔸 Массовая почтовая атака
🔸 Вектор атаки на базе Arduino
🔸 Вектор атаки на беспроводную точку доступа
🔸 Вектор атаки на генератор QRCode
🔸 Векторы атак Powershell
🔸 Модули сторонних производителей

Kube-hunter

Специализированый сканер уязвимостей для проверки безопасности kubernetes. Распространяется под лицензией Apache.

🔴 Этот сканер ищет уязвимости в удалённых кластерах, а затем пробивает защиту на основании полученной информации об уявимостях. Пользоваться им следует осторожностью, потому что он может что-нибудь сломать.

🔴 Есть 2 режима работы — обычный и активный. В первом он выдаёт только информацию об уязвимостях. А второй пытается проникнуть самостоятельно.

Скачать сканер можно тут. Для работы нужен только python, ну или докер.

docker pull aquasec/kube-hunter

docker run --rm aquasec/kube-hunter [АРГУМЕНТЫ]

Разберём привлекательные ключи:
🔸 remote [АДРЕС] — сканировать кластер по адресу;
🔸 cidr [CIDR] — найти и атаковать все кластеры в заданном диапазоне адресов;
🔸 active — Активный режим.
🔸 mapping — Вывести все найденные узлы Kubernetes.

Можно просматривать результаты работы на онлайновой панели управления, но для этого требуется аккаунт на сайте компании.