Исследователи SquareX "Syncjacking", который позволяет злоумышленникам перехватывать управление браузером жертвы через, казалось бы, безобидное расширение для Chrome. Несмотря на сложность исполнения, для проведения атаки потребуются минимальные разрешения и лишь немного социальной инженерии.

Сама атака состоит из следующих шагов:
1️⃣ Злоумышленник создает домен и регистрирует учетную запись Google Workspace с отключенной двухфакторной аутентификацией. Далее этот домен будет использоваться в фоновом режиме для привязки профиля на устройстве жертвы.

2️⃣ Затем создается функциональное расширение для браузера и публикуется в Chrome Store и, используя методы социальной инженерии, атакующий убеждает жертву установить необходимое ему расширение. Оно в фоновом режиме входит в один из управляемых профилей Google Workspace в скрытом окне браузера.

3️⃣ Далее расширение открывает страницу поддержки Google, на которой благодаря правам чтения и записи внедряет фальшивое сообщение, призывающее включить синхронизацию Chrome. После соглашения пользователя, все сохраненные данные становятся доступными злоумышленнику.

4️⃣ Но это еще не всё! После компрометации профиля злоумышленник пытается получить полный контроль над браузером. В одном из рассмотренных исследователями сценариев, расширение подменяет страницу обновления Zoom, предлагая установить новый клиент, который является исполняемым файлом с токеном регистрации в управляемом домене Google, что открывает злоумышленникам полный доступ к браузеру.

Атака отличается высокой скрытностью — единственным возможным индикатором может стать появление статуса "Управляется вашей организацией" в настройках Chrome.

🚩 Новые задания на платформе Codeby Games!

🕵️ Категория Форензика — 85 и два нуля

🎢 Категория Разное — Камень, ножницы, бумага

🌍 Категория Веб — Цирковой трюк

Приятного хакинга!

OSINT: Искусство поиска и границы закона 🔍

Как законно заниматься OSINT в 2025 году? Какие ошибки совершают новички? И сколько зарабатывает профессиональный осинт-аналитик?

В нашем новом интервью Екатерина Тьюринг — преподаватель курса по OSINT, автор блога «Слезы Тьюринга» — рассказывает:

🔸 Чем OSINT полезен юристам, бизнесу и HR?
🔸 Как не нарушить закон, занимаясь разведкой?
🔸 Какие инструменты и лайфхаки используют профи?
🔸 И, конечно, отвечает на блиц-вопросы!

Полное интервью уже в ВК — переходите по ссылке и смотрите!

➡️Запись на курс "OSINT: Технология боевой разведки" продлится до 20 февраля. Оставьте заявку на сайте или напишите нашему менеджеру 🚀 @Codeby_Academy

Кодебай, уже сегодня в 19:00 пройдет бесплатный вебинар по OSINT на тему: "Как безопасно искать информацию в открытых источниках?" с Екатериной Тьюринг.

⭐️ Всем участникам вебинара будет доступна скидка 10% на курс "OSINT: Технология боевой разведки" — подробности во время эфира.

Если вы еще не зарегистрированы — самое время!

До встречи! 😎

На нашем канале ВКонтакте уже начался бесплатный вебинар с Екатериной Тьюринг по лучшим практикам OSINT 😎

➡️Перейти на стрим

⭐️ Всем участникам вебинара будет доступна скидка 10% на курс "OSINT: Технология боевой разведки" — подробности во время эфира.

👥 adPEAS — инструмент Powershell для автоматизации перечисления объектов в Active Directory. Существует две версии инструмента: adPEAS-Light и стандартная. adPEAS-Light — это версия без Bloodhound, и вероятность того, что она не будет заблокирована антивирусной программой, выше.

💻Модули adPEAS:
⏺️Domain - поиск базовой информации Active Directory (DC, доверительных отношений);
⏺️Rights - поиск определенных прав и разрешений (LAPS, DCSync);
⏺️GPO - поиск базовой информации, связанной с групповыми политиками;
⏺️ADCS - поиск базовой информации служб сертификации Active Directory (уязвимые шаблоны);
⏺️Creds - поиск различных видов раскрытия учетных данных (ASREPRoast, Kerberoasting)
⏺️Delegation - поиск делегирования (ограниченное, неограниченное, RBCD);
⏺️Accounts - поиск не отключенных учетных записей пользователей с высокими привилегиями в предопределенных группах;
⏺️Computer - перечисление контроллеров домена, служб сертификации, сервера Exchange;
⏺️BloodHound - перечисление Active Directory с помощью коллектора SharpHound.

🏃 Примеры использования:
Сначала необходимо загрузить adPEAS в Powershell

Import-Module .\adPEAS.ps1

Запуск со всеми модулями перечисления

Invoke-adPEAS

Запуск со всеми модулями для домена contoso[.]com с указанием контроллера домена dc1[.]contoso[.]com

Invoke-adPEAS -Domain 'contoso.com' -Server 'dc1.contoso.com'

Использование с одним модулем перечисления (после флага необходимо указать один из перечисленных выше модулей)

Invoke-adPEAS -Module ..

DomainPasswordSpray — инструмент, написанный на PowerShell для проведения атаки методом перебора паролей пользователей домена. По умолчанию он автоматически генерирует список пользователей домена. Модуль Get-DomainUserList позволяет создать список пользователей домена без атаки распыления пароля, при этом удалив отключенные УЗ и те, которые потенциально могут быть заблокированы.

🚩 Параметры модуля Invoke-DomainPasswordSpray:
⏺️UserList - список пользователей (необязательный параметр, будет сгенерирован автоматически в случае отсутствия);
⏺️Password - пароль, который будет использоваться для распыления;
⏺️PasswordList - список паролей для распыления;
⏺️OutFile - файл для вывода результатов;
⏺️Domain - домен, в котором будет происходить распыление;
⏺️Force - принудительно продолжает распыление без запроса подтверждения.

✏️ Примеры использования:

Invoke-DomainPasswordSpray -Password passwd

Invoke-DomainPasswordSpray -UserList users.txt -Domain domain-name -PasswordList passlist.txt -OutFile sprayed-creds.txt

Get-DomainUserList -Domain domainname -RemoveDisabled -RemovePotentialLockouts | Out-File -Encoding ascii userlist.txt

💻 Скачать инструмент можно здесь.

✉️ 🎯 MailSniper — инструмент, позволяющий искать в электронной почте в среде Microsoft Exchange пароли, инсайдерскую информацию, сведения об архитектуре сети и т. д.

✏️ MailSniper также включает дополнительные модули для подбора паролей, перечисления пользователей и доменов, сбора глобального списка адресов (GAL) из OWA и EWS и проверки разрешений на доступ к почтовым ящикам для каждого пользователя Exchange в организации.

🔍 Две основные функции:

Invoke-GlobalMailSearch — модуль, подключающийся к серверу Exchange и предоставляющий указанному пользователю роль ApplicationImpersonation. Наличие этой роли позволяет выполнять поиск по почтовым ящикам всех других пользователей домена. После предоставления этой роли создаётся список всех почтовых ящиков в базе данных Exchange. Затем он подключается к Exchange Web Services (EWS), чтобы собрать письма из каждого ящика, и в конечном итоге выполняет поиск по определённым терминам.

Поиск по всем почтовым ящикам в домене:

Invoke-GlobalMailSearch -ImpersonationAccount current-username -ExchHostname Exch01 -OutputCsv global-email-search.csv

Invoke-SelfSearch — модуль, подключающийся к серверу Exchange с помощью EWS, чтобы собрать несколько писем из почтового ящика текущего пользователя. Затем выполняется поиск по ключевым словам.

Поиск в почтовом ящике текущего пользователя:

Invoke-SelfSearch -Mailbox current-user@domain.com

🔥 Дополнительные модули:

⏺️Get-GlobalAddressList - подключение к OWA для сбора адресов электронной почты из GAL;
⏺️Get-MailboxFolders - подключение к Exchange с помощью EWS и получение списка папок из почтового ящика текущего пользователя;
⏺️Invoke-PasswordSprayOWA - подключение к OWA и выполнением атаки распыления паролей для списка пользователей;
⏺️Invoke-PasswordSprayEWS - подключение к EWS и выполнением атаки распыления паролей для списка пользователей;
⏺️Invoke-PasswordSprayGmail - подключение к порталу аутентификации Gmail и выполнением атаки распыления паролей для списка пользователей;
⏺️Invoke-DomainHarvestOWA - подключение к OWA и определение действительного доменного имени для входа на портал по заголовку WWW-Authenticate;
⏺️Invoke-UsernameHarvestOWA - подключение к OWA и получение действительных имен пользователей на основе небольших временных интервалов между попытками входа в систему;
⏺️Invoke-UsernameHarvestGmail - перечисление УЗ пользователей Google Apps и идентификация УЗ, отказавшихся от двухфакторной аутентификации;
⏺️Invoke-OpenInboxFinder - определение, есть ли у текущего пользователя доступ к папке «Входящие» для каждого адреса электронной почты из списка адресов;
⏺️Get-ADUsernameFromEWS - опредение имя пользователя Active Directory для одного адреса электронной почты или списка адресов;
⏺️Send-EWSEmail - подключение к EWS и отправка электронного письма.

CHGPass — исполняемый инструмент для Windows, который позволяет изменять пароли учётных записей пользователей и компьютеров в Active Directory по протоколу MS-SAMR.

🔎 Параметры

⏺️Обязательные:
-t: целевая учётная запись, пароль которой подлежит изменению;
-m: новый пароль.

⏺️Необязательные:
-u: имя пользователя для аутентификации (если оно отличается от текущего пользователя);
-p: пароль для аутентификации;
-d: домен для аутентификации;
-c: имя контроллера домена, к которому необходимо подключиться;
-l: имя сервера, к которому нужно подключиться.

💻 Примеры использования

1️⃣ Изменение пароля пользователя target_user, используя альтернативную УЗ admin

chgpass.exe -t target_user -m newpassword123 -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local

2️⃣ Изменение пароля локальной УЗ компьютера, подключенного к удаленному домену

chgpass.exe -t localuser1 -m Superp@ss! -l remoteserver

3️⃣ Изменение пароля локальной УЗ удалённого компьютера, подключённого к домену, с компьютера, не подключённого к домену

chgpass.exe -t localuser1 -m newpassword123 -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local -l remoteserver

4️⃣ Изменение пароля в режиме DSRM, который является УЗ локального администратора на контроллерах домена, хранящейся в локальном SAM

chgpass.exe -t **DSRM** -m "" -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local

💻 Скачать инструмент можно здесь либо скомпилировать самостоятельно, загрузив файлы из репозитория.

Спасибо всем, кто был на вебинаре "Как безопасно искать информацию в открытых источниках?" в воскресенье! 😎 Запись доступна по ссылке.

Впереди вас ждет еще больше бесплатных и интересных занятий — пишите в комментариях, что бы вы хотели увидеть на следующих вебинарах!

➡️Запись на курс "OSINT: Технология боевой разведки" продлится до 20 февраля. Оставьте заявку на сайте или напишите нашему менеджеру 🚀 @Codeby_Academy

Причинами почему ВПО стремится определить запущено ли оно в песочнице или виртуальной среде, может быть попытка избежать анализа и обнаружения, так как такие среды используются специалистами для исследования поведения вредоносных программ. Также ВПО может быть нацелено на конкретные системы или организации.

🛡 Для уклонения от обнаружения в матрице MITRE ATT&CK выделяется техника T1497 - Virtualization/Sandbox Evasion.

⁉️ Как ВПО определяет что оно в песочнице?
⏺️Системные параметры: анализ реестра на наличие ключей характерных для виртуальных машин, также проверяется количество установленных приложений.
⏺️Аппаратные характеристики: MAC-адреса сетевых интерфейсов, виртуальные сетевые карты, диски или процессоры, наличие периферийных устройств, размер жесткого диска, разрешение экрана, количество процессоров, размер ОЗУ.
⏺️Окружение: проверяется наличие инструментов, которые могут быть использованы для анализа в песочнице либо различные агенты песочниц, анализ активности пользователя, количество запущенных процессов, обнаружение отладчиков, сетевые подключения.
⏺️Поведение системы: наличие искусственных задержек, время выполнения определенных операций.

Searchsploit

Searchsploit - это мощный инструмент, встроенный в Exploit-DB, который позволяет пользователям легко искать и находить эксплойты для различных уязвимостей.
Ключевые функции:
🌚Быстрый поиск: Searchsploit позволяет пользователям быстро искать эксплойты по ключевым словам, таким как название программного обеспечения, номер версии или идентификатор CVE.
🌚Обширная база данных: Searchsploit имеет доступ к огромной базе данных эксплойтов, содержащей более 50 000 записей, что делает его одним из самых полных ресурсов для поиска эксплойтов.
🌚Фильтрация результатов: Пользователи могут фильтровать результаты поиска по различным критериям, таким как тип эксплойта, платформа и язык программирования.
🌚Информация об эксплойтах: Searchsploit предоставляет подробную информацию об эксплойтах, включая описание, авторство и ссылки на дополнительные ресурсы.

Это ценный инструмент для исследователей безопасности, пентестеров и администраторов безопасности. Его мощные возможности поиска, обширная база данных и функции фильтрации делают его незаменимым ресурсом для выявления и эксплуатации уязвимостей.

📎Запуск:

searchsploit

📎Поиск уязвимостей в Nginx

searchsploit Nginx

📎Поиск с использованием версии

searchsploit Nginx 1.4.0

⚠️ За 2024 год число кибератак на российские компании выросло в 2,5 раза. Доля заказных кибератак на российские компании за год выросла с 10% до 44%.

Что делать? — Стать востребованным специалистом!

Запишитесь на курс для BlueTeam от Академии Кодебай. Оставьте заявку на сайте — начинаем 3 марта! 

Что вы освоите?
🔸 Сбор дампов памяти с Linux и Windows
🔸 Анализ журналов безопасности и артефактов ВПО
🔸 Реагирование на основе данных из SIEM
🔸 Анализ вредоносных программ
🔸 Threat Intelligence & Threat Hunting

⭐️ Сертификат / удостоверение о повышении квалификации

Научитесь реагировать на сетевые вторжения! Пишите 🚀 @Codeby_Academy

Как побеждать в CTF? Обсудим с пентестером, создателем CTF-тасков и победителем The Standoff 14 — Магомедом Эми-Межидовым! 😎

В новом видео обсудим:
🔸 Как начать участвовать в CTF и какие бывают задания?
🔸 Секрет победы на Standoff 14
🔸 Как создаются CTF-задания?
🔸 Как CTF помогает построить карьеру в кибербезопасности?
🔸 Российские площадки для CTF (спойлер — Codeby Games)

➡️Cмотреть интервью

CTF-соревнования — это не просто хакерские битвы, а возможность прокачать навыки и найти работу в топовых компаниях! Тренируйтесь и побеждайте на codeby.games 🚩

Trivy — комплексный и универсальный сканер безопасности. Автоматически сканирует на наличие известных уязвимостей, неправильных настроек, конфиденциальной информации и секретов, используемых пакетов ОС и программных зависимостей. Предоставляет детализированные отчёты о найденных уязвимостях и советы по их исправлению.

💻 Установка:
Для Debian, Ubuntu и Astra Linux можно воспользоваться следующими командами (последняя на данный момент версия):

wget https://github.com/aquasecurity/trivy/releases/download/v0.59.1/trivy_0.59.1_Linux-64bit.deb

dpkg -i trivy_0.59.1_Linux-64bit.deb

В Kali можно установить trivy через пакетный менеджер sudo apt install trivy

🔍 Сканирование:
⏺️fs - все файлы по определённому пути;
⏺️vm - образы виртуальных машин;
⏺️k8s - кластеры Kubernetes;
⏺️aws - УЗ AWS на наличие неправильных конфигураций;
⏺️repo - Git репозитории;
⏺️rootfs - корневая файловая система;
⏺️image - Docker-образы;
⏺️config - проверка корректности для конфигурационных файлов.

💱 Примеры использования:
Сканирование образа Docker

trivy image image_name

Сканирование файловой системы в текущем расположении

trivy fs ./

Сканирование образа с указанием уровня критичности уязвимостей

trivy image --severity HIGH,CRITICAL image_name

Сканирование k8s с сохранением отчета в файл

trivy k8s --output report.txt k8s_name