🚩 Новые задания на платформе Codeby Games!

🖼 Категория Стеганография — Новогодняя открытка

🕵️ Категория Форензика — Абузер подарков

🔎 Категория OSINT — Застенчивый гений

Приятного хакинга!

В последние месяцы эксперты по кибербезопасности наблюдают всплеск атак на российские компании со стороны синдиката Shadow в союзе с группировкой Twelve. 💀 Shadow специализируются на корпоративном шпионаже и вымогательстве, а Twelve, известные своими хактивистскими акциями, усиливают их действия.

В новой статье мы подробно разобрали:
🔸 как именно хакеры получают доступ,
🔸 какие инструменты и техники используют,
🔸 как компаниям защитить свои сети.

Хакеры используют следующие методы:
1️⃣ Фишинг — отправка тщательно проработанных писем для кражи учетных данных сотрудников.
2️⃣ Эксплуатация уязвимостей — активное применение эксплойтов для Atlassian Confluence и Zimbra с целью проникновения в сети компаний.
3️⃣ Укрепление позиций — атаки на домены через Zerologon для повышения привилегий.
4️⃣ Эксфильтрация данных — вывод конфиденциальной информации через незаметные каналы.

Shadow демонстрируют высокий уровень подготовки: их атаки замаскированы под легитимную активность, что затрудняет обнаружение. Twelve поддерживают их, распространяя украденные данные в даркнете и на публичных платформах для усиления давления.

⚡ Читать подробнее

Сегодня кибератаки — это реальная угроза для компаний всех размеров.

Если крупные корпорации вроде Wildberries и СДЭК могут стать мишенью из-за их масштабов, то малый и средний бизнес привлекают злоумышленников из-за недостаточной защиты. Недооценка информационной безопасности может привести к потере данных, финансовым убыткам и репутационным рискам.

Что такое информационная безопасность?
Это совокупность мер для защиты данных и IT-инфраструктуры от несанкционированного доступа, повреждений или удаления. Она включает:

🔸 Конфиденциальность: доступ к данным только у уполномоченных лиц.
🔸 Целостность: защита от изменений или удаления данных.
🔸 Доступность: предотвращение потерь из-за недоступности информации.

Информационная безопасность — это не только программное обеспечение, но и обучение сотрудников, меры по восстановлению данных и строгие внутренние регламенты.

Какими бывают угрозы?
1️⃣ Внешние:
🔸 Вредоносное ПО: трояны, шпионы, шифровальщики.
🔸 SQL-инъекции и DDoS-атаки.
🔸 Фишинг: мошеннические письма и сайты.

2️⃣ Внутренние:
🔸 Случайные ошибки сотрудников, нарушающих правила безопасности.
🔸 Намеренные действия, включая кражу данных за вознаграждение.

Последствия кибератак — убытки от простоев, штрафы за утечку данных, потеря лояльности клиентов, ухудшение HR-бренда.

Как защитить компанию?
🔸 Технические меры: антивирусы, файрволлы, DLP-системы, IDS/IPS.
🔸 Обучение сотрудников: повышение киберграмотности.
🔸 Пентесты: имитация атак для выявления уязвимостей.

Не стоит экономить на безопасности — восстановление после атаки может стоить намного дороже. Лучшая стратегия — это комплексный подход, включающий технические решения, обучение и регулярное тестирование системы.

✔️ В новой статье подробно рассмотрены методы защиты и инструменты, которые помогут предотвратить кибератаки.

Smile, we're taking a picture of you 📸😁

SayCheese - утилита, которая фотографирует жертву которая перешла по ссылке. Инструмент генерирует вредоносную страницу HTTPS, используя методы переадресации портов Serveo или Ngrok, а также код JavaScript для перехвата запросов с помощью MediaDevices.getUserMedia. Метод MediaDevices.getUserMedia() запрашивает у пользователя разрешение на использование медиавхода, который создает MediaStream с дорожками, содержащими запрошенные типы медиа. Если замаскировать начальную страницу, то жертва будет более доверчивой.

💻Установка:
Клонируем репозиторий

git clone https://github.com/hangetzzu/saycheese

Переходим в директорию с проектом

cd saycheese

Выдаём права на запуск скрипту

chmod 114 saycheese.sh

⚙️Настройка:
Для удачного запуска устанавливаем ngrok
Далее заходим в файл saycheese.sh и на 171 строке удаляем ./ до ngrok

💻Запуск:
Теперь запускаем ngrok на 3333 порту

ngrok http 3333

и запускаем saycheese выбирая ngrok

bash saycheese.sh

готово, отправляем ссылку жертве!

Архивы в Linux💻

Когда мы будем проникать на сервер жертвы, ну или просто отправлять информацию куда-либо, нам будет гараздо удобнее отправить это всё дело как один файл.
Как вы уже знаете, сервера не используют какую-либо граф. оболочку, во-первых из-за не надобности, а во-вторых она минимизирует нагрузку на сервер.
Поэтому нам критически важно уметь пользоваться терминалом и с его помощью архивировать и разархивировать файлы.
Итак, давайте начнём не с совсем архиватора, но очень похожего на него tar.
Tar - сам не может сжимать файлы, поэтому назвать его архиватором нельзя, однако он может закидывать файлы в один, поэтому для удобства всё таки будем его так называть.
Для того, чтобы архивировать файлы, нам нужно использовать следующую команду с такими ключами:

tar -cf <ИМЯ_АРХИВА>.tar <ФАЙЛЫ>

где, -c - создать новый архив и записать в него файлы, -f - выводит результат в файл

Так теперь нужно его разархировать:

tar -xvf <ИМЯ_АРХИВА>.tar

где, -x - разархировать, а -f - выводит результат в файл.

А чтобы посмотреть содержимое:

tar -tf <ИМЯ_АРХИВА>.tar

Но бывает и такие ситуации что мы можем забыть что-то, тогда в архив можно добавить файл.

tar -rf <ИМЯ_АРХИВА>.tar <ФАЙЛЫ>

Мы конечно создали архив, но не сжали его, так что мы можем его отправлять, но это будет не очень, поэтому давайте его пересоздадим, но с сжатием, использовать будем gzip так как он самый популярный:

tar -zcf <ИМЯ_АРХИВА>.tar.gz <ФАЙЛЫ>

Для разархивации мы можем использовать тот же ключ -x:

tar -xf <ИМЯ_АРХИВА>.tar.gz

C zip всё по другому, давайте посмотрим как создать архив:

zip -r -9 <ИМЯ_АРХИВА>.zip <ФАЙЛЫ>

где, -r — архивировать рекурсивно, -9 — степень сжатия от 1 до 9.

Чтобы запаролить архив, используем ключ -e:

zip -e megapassword -r -9 <ИМЯ_АРХИВА>.zip <ФАЙЛЫ>

Ну а чтобы распаковать:

unzip <ИМЯ_АРХИВА>.zip

Чтобы посмотреть содержимое без распаковки:

unzip -l <ИМЯ_АРХИВА>.zip

Для получения более детальной информации во время разархивирования:

unzip -v <ИМЯ_АРХИВА>.zip

Проверка целостности архива:

unzip -t archive.zip

Примечение: Можно указывать не только файлы но и директории.

Microsoft выпустила декабрьское обновление Patch Tuesday, закрыв 71 уязвимость, среди которых активно эксплуатируемая CVE-2024-49138 👀

Что произошло?
CVE-2024-49138 — уязвимость повышения привилегий в драйвере Windows Common Log File System (CLFS). Этот сервис отвечает за работу системных журналов и может использоваться злоумышленниками для получения системных привилегий.

Почему это важно?
CLFS уже становился объектом атак в предыдущие годы (CVE-2022-24521, CVE-2023-23376 и др.). Новый баг, связанный с переполнением кучи (CWE-122), может привести не только к отказу в обслуживании, но и к выполнению вредоносного кода.

Другие критические уязвимости:
🔸 LDAP: CVE-2024-49112 (CVSS 9.8) — критическая RCE-уязвимость, связанная с вызовами LDAP.
🔸 RDP: Девять уязвимостей в службе Windows Remote Desktop Services.
🔸 MSMQ: Две RCE-уязвимости в Microsoft Message Queuing.

Эти уязвимости особенно привлекательны для авторов вредоносного ПО, в том числе для разработчиков программ-вымогателей.

#новости

R-Studio. Представляет из себя утилиту восстановления данных с жёсткого диска или другого носителя, включая карты памяти, диски CD и DVD, дискеты, флешки и внешние жёсткие диски. Поддерживает широкий спектр файловых систем, включая NTFS, FAT, exFAT, HFS, HFS+, APFS, Ext2/Ext3/Ext4, UFS и др.

🗑 Позволяет восстановить:
⏺️ файлы, которые уже были удалены из корзины
⏺️ файлы, удаленные сбоем питания или вирусами
⏺️ раздел с переформатированными файлами
⏺️ файлы, в случае разделения структуры на жестком диске
⏺️ файлы с жестких дисков с большим числом поврежденных секторов

Работа с программой:

1️⃣Открыть образ диска, который необходимо восстановить, в R-Studio.
2️⃣Делаем сканирование образа на предмет известных файловых систем, тем самым обнаружатся существующие разделы.
3️⃣Выбираем интересующий нас раздел и нажимаем "Показать содержимое диска". В удобном виде будет представлена файловая система, в которой красным крестом будут помечены удаленные файлы.
4️⃣Для просмотра таких файлов необходимо восстановить их, предварительно выбрав место в которое они будут сохранятся.

⭐️ R-Studio доступна в версиях для Windows, Mac OS и Linux.

В новой статье мы разберём, как с помощью доступных инструментов создать фальшивую страницу авторизации, на которой можно захватить личные данные пользователя, такие как логины и пароли*.

Эта техника фишинга является одной из самых популярных и простых в исполнении, даже для новичков в хакерстве.

Содержание статьи:

1️⃣ Создание поддельной страницы авторизации:
🔸 Как скачать страницу авторизации с интересующего вас сайта и преобразовать её в фишинговую страницу.
🔸 Пошаговая инструкция по редактированию HTML-кода и добавлению PHP-скрипта для захвата данных, которые вводит жертва.

2️⃣ Знакомство с XAMPP:
🔸 Установка и настройка XAMPP для локального тестирования фишингового сайта.
🔸 Как создать директорию для сайта и перенести туда необходимые файлы для его работы.

3️⃣ Открытие доступа через Ngrok:
🔸 Использование Ngrok для создания публичного адреса, через который можно получить доступ к локальному сайту. .
🔸 Включение Web Interface в Ngrok для мониторинга запросов и получения сохранённых данных.

*Гайд создан исключительно в познавательных целях!

🔗 Читать статью полностью

Don't worry, enter your password🎃

Zphisher

Zphisher - утилита предназначена для фишинговых атак, иструмент в умелых руках может пользоваться большим спросом среди пентестеров. Например, для оценки компитентности сотрудников.

P.S. Zphisher прекратил поддержку ngrok, поэтому его поддержку я добавил от себя и постарался сделать максимально удобно.

💻Установка:

git clone https://notabug.org/Delifer313/Zphisher

cd Zphisher

💻Запуск:

bash zphisher.sh

Выбираем нужный сервис, порт рекомендую не менять и ngrok, если вы пользуетесь чем-то другим, используйте то что вам удобнo. В нашем случае вам откроется новое окно с активным ngrok,где вы сможете получить ссылку, а на втором окне видеть кто зашёл и что ввёл.

Ссылка на мою версию с поддержкой ngrok: https://notabug.org/Delifer313/Zphisher

К сожалению во время тестирования, ngrok заблокировал мой аккаунт за фишинг, так что, как я и говорил "ngrok строго следит за тем, что на нём запускают"

Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать? 💬 Научим на курсе “Атака на Active Directory"

Запись до 26 декабря.
Присоединиться: https://clck.ru/3FJAgv

Содержание курса:
🙂 Архитектура AD и ее базис
🙂 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре
🙂 Как закрепиться внутри? Техники и эксплоиты

➡️ практическая лаборатория AD содержит более 30 виртуальных машин, позволяя участникам отточить свои навыки на практике в 100+ рабочих тасках

🚀Пишите нам @Codeby_Academy

5 камней бесконечности в Firefox

Один из популярных инструментов для тестирования безопасности — это браузер Firefox. В отличие от других браузеров, Firefox поддерживает множество полезных расширений, которые помогают специалистам по безопасности эффективно проводить пентесты.

Полезные расширения для пентеста

🧹 Камень реальности — Wappalyzer
Wappalyzer позволяет определить, какие платформы, фреймворки, серверы и другие технологии используются на сайте. Это важно, так как знание используемых технологий помогает сосредоточиться на наиболее уязвимых компонентах системы.

🧹 Камень пространства — FoxyProxy
FoxyProxy — это расширение, которое позволяет легко управлять прокси-серверами. FoxyProxy упрощает настройку прокси, делая процесс тестирования более гибким и удобным. Это особенно полезно при использовании различных инструментов, таких как Burp Suite или OWASP ZAP, для анализа трафика.

🧹 Камень силы — HackTools
HackTools — это набор инструментов для проведения атак на веб-приложения. Он включает в себя возможности для манипуляции HTTP-запросами, управления сессиями, а также проведения различных атак, таких как SQL-инъекции, XSS и другие.

🧹 Камень разума — Live HTTP Headers
Позволяет отслеживать и анализировать HTTP-заголовки, которые передаются между клиентом и сервером.

🧹 Камень души — Cookie-Editor
Cookie-Editor позволяет легко управлять cookies, используемыми на веб-сайтах. Он предоставляет удобный интерфейс для просмотра, редактирования, добавления и удаления cookies, что особенно полезно для тестирования и разработки веб-приложений.

В чем отличие CVE и CWE

▶️CVE (Common Vulnerabilities and Exposures) – это список известных уязвимостей и дефектов безопасности
Пример: CVE-2024-51378 - конкретная уязвимость в СyberPanel, которая позволяет злоумышленникам обходить аутентификацию и выполнять произвольные команды.

▶️CWE (Common Weakness Enumeration) – общий перечень дефектов (недостатков) безопасности.
Пример: CWE-89 относится ко всем SQL-инъекциям — конструктивному недостатку, открывающему путь для атак на базу данных.

💠 Ключевое различие
Главное отличие между CVE и CWE заключается в их назначении.
💠 CVE описывает факт существования конкретной уязвимости. Это запись, которая указывает на проблему в определённой версии программного обеспечения.
💠 CWE описывает причину возникновения уязвимости, предоставляя классификацию и систематизацию дефектов, которые часто становятся источниками проблем безопасности.

💠 Пример взаимосвязи CVE и CWE
Возьмём CVE-2024-51378, упомянутый ранее. Эта уязвимость в CyberPanel может быть связана с конкретными CWE, например:
💠 CWE-287 (Недостаточная аутентификация) — основная причина, по которой атакующий может обойти проверку подлинности.
💠 CWE-78 (Неправильная нейтрализация специальных элементов в системных командах) — причина, по которой злоумышленник может выполнять произвольные команды.

В мире кибербезопасности список OWASP TOP 10 – это своего рода «мастхэв» для всех, кто занимается разработкой и защитой веб-приложений 💎

Этот документ, подготовленный Open Web Application Security Project, освещает самые критические уязвимости, способные превратить ваш проект в лёгкую добычу для злоумышленников.

Почему это важно? В списке собраны наиболее опасные уязвимости, их последствия и рекомендации по устранению. Даже спустя несколько лет после последнего обновления (2021 год), он остаётся актуальным. К слову, новое издание OWASP TOP 10 ожидается в первой половине 2025 года.

Какие угрозы включены в список?
🔸 Нарушение контроля доступа (Broken Access Control)
🔸 Сбои в криптографии (Cryptographic Failures)
🔸 Внедрение кода (Injection)
🔸 Небезопасное проектирование (Insecure Design)
🔸 Небезопасная конфигурация (Security Misconfiguration)
🔸 Уязвимые и устаревшие компоненты (Vulnerable and Outdated Components)
🔸 И многое другое.

В новой статье разберём каждую из этих уязвимостей: что она из себя представляет, к чему может привести и как её предотвратить.

➡️ Читать подробнее

Специалисты Positive Technologies обнаружили атаку группировки Cloud Atlas, которая нацелена на организации в России и Белоруссии с 2014 года. Злоумышленники продолжают совершенствовать свои тактики, техники и используемое ВПО. Использование Google Sheets в качестве С2 сервера является важной особенностью рассмотренной кампании и отличает ее от предыдущих атак.

🔗 Цепочка заражения:

✉️ Получение первоначального доступа происходит через фишинговую компанию с адресов internet[.]ru. Письма содержат запросы о предоставлении определенного рода информации, направленные различными "государственными ведомствами". Во вредоносных документах используется техника удаленной загрузки шаблона, ссылка на который вшита в один из файлов, из которых состоит документ формата doc.

🌐 При запуске вредоносного документа отправляется GET-запрос к C2, в ответ на который сервер возвращает файл типа application/hta. Далее загружаемый шаблон эксплуатирует уязвимость в компоненте Equation Editor, входящую в состав Microsoft Office. Далее HTA-файлы используются для доставки на зараженные узлы других инструментов злоумышленников.

😮 При анализе атаки был обнаружен факт выполнения вредоносных VB-скриптов, записанных в альтернативные потоки данных файлов. VB-скрипты взаимодействуют с C2-сервером, в качестве которого используется документ Google Sheets.

⬇️ Скрипт отправляет данные о зараженном пользователе в документ Google Sheets по API, после чего на узле выполняется код Visual Basic, записанный в другой ячейке того же листа в зашифрованном виде. В результате выполнения таких команд на зараженные узлы доставлялись экземпляры других инструментов группировки Cloud Atlas (бэкдор PowerShower). Таким же образом было доставлено ВПО, использующее технику DLL Side-Loading и маскирующееся под компоненты Cisco Webex.

Само ВПО представляет собой загрузчик конечных функциональных модулей, которые хранятся на «Яндекс Диске». Загрузчик закрепляется в системе посредством создания запланированной задачи с именем CiscoMngr.

Lemme know your password

BlackPhish

BlackPhish - утилита предназначена для фишинговых атак, принцип его работы схож с Zphisher, за исключением того, что в обоих проектах не работает ngrok. BlackPhish уступает по кол-ву сервисов по сравнению с Zphisher.

P.S. Работа ngrok также восстановлена, однако установить его вам придётся самим

💻Установка:

git clone https://notabug.org/Delifer313/BlackPhish

cd BlackPhish

👩‍💻Запуск:

sudo python3 BlackPhish.py

Ссылка на мою версию с поддержкой ngrok: https://notabug.org/Delifer313/BlackPhish

Вам необходимо иметь на борту установленный и рабочий ngrok для возможного запуска на сервисе ngrok.

EVE-NG — мощный инструмент для сетевых инженеров и специалистов по безопасности, который позволяет моделировать сети и тестировать сценарии атак в виртуальной среде.

В новой статье расскажем, как настроить виртуальную лабораторию для моделирования корпоративной сети и протестировать популярную атаку ARP Spoofing.

✏️ ARP Spoofing — это тип атаки на уровне L2, при котором злоумышленник отправляет ложные ARP-запросы в локальную сеть, связывая свой MAC-адрес с IP-адресом жертвы. Это позволяет перехватывать данные, создавать Man-in-the-Middle атаки или даже перенаправлять трафик на другой хост.

О чем пойдет речь:
🔸 Как развернуть EVE-NG и настроить тестовую инфраструктуру с Kali Linux, Windows 7 и файрволлом.
🔸 Пошаговая настройка сети и запуск тестовых машин.
🔸 Моделирование ARP Spoofing: сканирование подсети, перехват трафика с помощью Wireshark и арсенал утилит Kali.
🔸 Методы защиты от атак на уровне ARP и практические рекомендации для предотвращения Man-in-the-Middle атак.

Читайте полную статью, чтобы узнать, как эффективно использовать виртуальные среды для изучения кибератак! 😎

C2 в изолированных средах браузера. Компания Mandiant продемонстрировала новую технологию, которую можно использовать для обхода всех существующих типов изоляции браузера с целью управления вредоносным ПО с помощью C2.

🌐 Типы изоляции браузера:
⏺️Удаленная изоляция браузера — наиболее безопасный и распространенный вариант, при котором браузер изолируется в облачной среде.
⏺️Локальная изоляция браузера, но браузер в изолированной среде запускается локально. Преимущество этого подхода в том, что доступ к локальным веб-приложениям можно получить без сложного подключения к облаку.
⏺️Локальная изоляция браузера, или изоляция браузера на стороне клиента, позволяет запускать браузер в изолированной среде в локальном контейнере или на виртуальной машине.

✏️ Таким образом, используя первые два типа изоляции, в локальный браузер пользователя отправляется только визуальное представление веб-страницы (поток пикселей), тем самым, предотвращая типичную связь импланта с С2 сервером.

😳 Отправка данных C2 Через Пиксели:
1️⃣ Вместо того, чтобы возвращать данные C2 в заголовках или теле HTTP-запроса, сервер C2 возвращает корректную веб-страницу, на которой визуально отображается QR-код.
2️⃣ Затем имплант использует локальный браузер без графического интерфейса (например через Selenium) для отображения страницы, делает скриншот и считывает QR-код для получения встроенных данных.
3️⃣ Используя машиночитаемые QR-коды, злоумышленник может отправлять данные с контролируемого им сервера на вредоносную программу, даже если веб-страница отображается в удалённом браузере.

❗️ Поскольку этот метод основан на визуальном содержимом веб-страницы, он работает во всех трёх типах изоляции браузера

🚩 Новые задания на платформе Codeby Games!

🖼 Категория Стеганография — Литературная аномалия

🎢 Категория Разное — Серьёзный таск

🌍 Категория Веб — Object master

Приятного хакинга!

Злоумышленники продолжают искать уязвимости в ПО, и недавно в их арсенале появилась интересная техника, связанная с объединением ZIP-архивов. Она позволяет обмануть системы защиты за счет того, что разные архиваторы по-разному интерпретируют структуры комбинированных ZIP-файлов.

Как это работает?
ZIP-файл состоит из трех ключевых частей: записей файлов, центрального каталога и записи конца каталога (EOCD). При объединении двух архивов в один программа для работы с ZIP может обработать только первую или вторую часть данных, в зависимости от особенностей её реализации.

Например:
🔸 Windows Explorer не откроет объединенный архив.
🔸 7zip покажет только содержимое первого архива.
🔸 WinRAR откроет второй архив с потенциальной угрозой.

Средства защиты могут "проглядеть" скрытую угрозу в объединенных архивах, оставляя вредоносный файл незамеченным.

Для обнаружения угроз важно использовать рекурсивные алгоритмы распаковки. Разделение архива на составные части и проверка каждого файла через песочницы (например, VirusTotal) позволяют обнаружить скрытые угрозы.

🔗 Читать полную статью

🍭 Полный гайд по очистке данных

Windows 10 и 11 активно собирают данные о пользователях. Это может быть полезно для работы системы, но если вы хотите сохранить конфиденциальность или просто скрыть свои действия, эта статья поможет.

В новой статье собрали лучшие методы очистки следов вашей активности в системе, включая файлы, журналы, историю браузера и другие записи, которые могут вас выдать.

Что мы будем очищать?

1️⃣ Недавние файлы и программы
Windows хранит список недавно открытых файлов и использованных программ в меню «Пуск» и других местах. Мы расскажем, как полностью удалить этот список.

2️⃣ Подключённые USB-устройства
Система сохраняет информацию о всех USB-накопителях, подключённых к вашему ПК. Это может быть полезно для расследований, но иногда требуется убрать эти следы.

3️⃣ История браузера и кэш DNS
Ваша активность в Интернете оставляет следы как в браузере, так и в системе (через кэш DNS). Вы узнаете, как очистить их полностью.

4️⃣ Журналы событий Windows
Windows записывает все действия, от включения ПК до установки программ. Очистка журналов событий поможет скрыть технические действия.

5️⃣ Остатки удалённых файлов
Даже после удаления файлы оставляют за собой следы на жёстком диске. Специальные инструменты помогут стереть эти данные без возможности восстановления.

6️⃣ Автоматизация процесса очистки
Вы узнаете, как автоматизировать очистку с помощью CCleaner, BleachBit и встроенных средств Windows, а также как создать собственные скрипты.

Этот гайд поможет вам защитить приватность и очистить все возможные следы вашей активности. С его помощью вы сможете подготовить систему перед передачей другому человеку, защититься от излишнего контроля или просто поддерживать порядок в системе.

⭐ Читать статью полностью