CHGPass — исполняемый инструмент для Windows, который позволяет изменять пароли учётных записей пользователей и компьютеров в Active Directory по протоколу MS-SAMR.

🔎 Параметры

⏺️Обязательные:
-t: целевая учётная запись, пароль которой подлежит изменению;
-m: новый пароль.

⏺️Необязательные:
-u: имя пользователя для аутентификации (если оно отличается от текущего пользователя);
-p: пароль для аутентификации;
-d: домен для аутентификации;
-c: имя контроллера домена, к которому необходимо подключиться;
-l: имя сервера, к которому нужно подключиться.

💻 Примеры использования

1️⃣ Изменение пароля пользователя target_user, используя альтернативную УЗ admin

chgpass.exe -t target_user -m newpassword123 -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local

2️⃣ Изменение пароля локальной УЗ компьютера, подключенного к удаленному домену

chgpass.exe -t localuser1 -m Superp@ss! -l remoteserver

3️⃣ Изменение пароля локальной УЗ удалённого компьютера, подключённого к домену, с компьютера, не подключённого к домену

chgpass.exe -t localuser1 -m newpassword123 -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local -l remoteserver

4️⃣ Изменение пароля в режиме DSRM, который является УЗ локального администратора на контроллерах домена, хранящейся в локальном SAM

chgpass.exe -t **DSRM** -m "" -u admin -p adminpassword -d mydomain.local -c dc1.mydomain.local

💻 Скачать инструмент можно здесь либо скомпилировать самостоятельно, загрузив файлы из репозитория.

Спасибо всем, кто был на вебинаре "Как безопасно искать информацию в открытых источниках?" в воскресенье! 😎 Запись доступна по ссылке.

Впереди вас ждет еще больше бесплатных и интересных занятий — пишите в комментариях, что бы вы хотели увидеть на следующих вебинарах!

➡️Запись на курс "OSINT: Технология боевой разведки" продлится до 20 февраля. Оставьте заявку на сайте или напишите нашему менеджеру 🚀 @Codeby_Academy

Причинами почему ВПО стремится определить запущено ли оно в песочнице или виртуальной среде, может быть попытка избежать анализа и обнаружения, так как такие среды используются специалистами для исследования поведения вредоносных программ. Также ВПО может быть нацелено на конкретные системы или организации.

🛡 Для уклонения от обнаружения в матрице MITRE ATT&CK выделяется техника T1497 - Virtualization/Sandbox Evasion.

⁉️ Как ВПО определяет что оно в песочнице?
⏺️Системные параметры: анализ реестра на наличие ключей характерных для виртуальных машин, также проверяется количество установленных приложений.
⏺️Аппаратные характеристики: MAC-адреса сетевых интерфейсов, виртуальные сетевые карты, диски или процессоры, наличие периферийных устройств, размер жесткого диска, разрешение экрана, количество процессоров, размер ОЗУ.
⏺️Окружение: проверяется наличие инструментов, которые могут быть использованы для анализа в песочнице либо различные агенты песочниц, анализ активности пользователя, количество запущенных процессов, обнаружение отладчиков, сетевые подключения.
⏺️Поведение системы: наличие искусственных задержек, время выполнения определенных операций.

Searchsploit

Searchsploit - это мощный инструмент, встроенный в Exploit-DB, который позволяет пользователям легко искать и находить эксплойты для различных уязвимостей.
Ключевые функции:
🌚Быстрый поиск: Searchsploit позволяет пользователям быстро искать эксплойты по ключевым словам, таким как название программного обеспечения, номер версии или идентификатор CVE.
🌚Обширная база данных: Searchsploit имеет доступ к огромной базе данных эксплойтов, содержащей более 50 000 записей, что делает его одним из самых полных ресурсов для поиска эксплойтов.
🌚Фильтрация результатов: Пользователи могут фильтровать результаты поиска по различным критериям, таким как тип эксплойта, платформа и язык программирования.
🌚Информация об эксплойтах: Searchsploit предоставляет подробную информацию об эксплойтах, включая описание, авторство и ссылки на дополнительные ресурсы.

Это ценный инструмент для исследователей безопасности, пентестеров и администраторов безопасности. Его мощные возможности поиска, обширная база данных и функции фильтрации делают его незаменимым ресурсом для выявления и эксплуатации уязвимостей.

📎Запуск:

searchsploit

📎Поиск уязвимостей в Nginx

searchsploit Nginx

📎Поиск с использованием версии

searchsploit Nginx 1.4.0

⚠️ За 2024 год число кибератак на российские компании выросло в 2,5 раза. Доля заказных кибератак на российские компании за год выросла с 10% до 44%.

Что делать? — Стать востребованным специалистом!

Запишитесь на курс для BlueTeam от Академии Кодебай. Оставьте заявку на сайте — начинаем 3 марта! 

Что вы освоите?
🔸 Сбор дампов памяти с Linux и Windows
🔸 Анализ журналов безопасности и артефактов ВПО
🔸 Реагирование на основе данных из SIEM
🔸 Анализ вредоносных программ
🔸 Threat Intelligence & Threat Hunting

⭐️ Сертификат / удостоверение о повышении квалификации

Научитесь реагировать на сетевые вторжения! Пишите 🚀 @Codeby_Academy

Как побеждать в CTF? Обсудим с пентестером, создателем CTF-тасков и победителем The Standoff 14 — Магомедом Эми-Межидовым! 😎

В новом видео обсудим:
🔸 Как начать участвовать в CTF и какие бывают задания?
🔸 Секрет победы на Standoff 14
🔸 Как создаются CTF-задания?
🔸 Как CTF помогает построить карьеру в кибербезопасности?
🔸 Российские площадки для CTF (спойлер — Codeby Games)

➡️Cмотреть интервью

CTF-соревнования — это не просто хакерские битвы, а возможность прокачать навыки и найти работу в топовых компаниях! Тренируйтесь и побеждайте на codeby.games 🚩

Trivy — комплексный и универсальный сканер безопасности. Автоматически сканирует на наличие известных уязвимостей, неправильных настроек, конфиденциальной информации и секретов, используемых пакетов ОС и программных зависимостей. Предоставляет детализированные отчёты о найденных уязвимостях и советы по их исправлению.

💻 Установка:
Для Debian, Ubuntu и Astra Linux можно воспользоваться следующими командами (последняя на данный момент версия):

wget https://github.com/aquasecurity/trivy/releases/download/v0.59.1/trivy_0.59.1_Linux-64bit.deb

dpkg -i trivy_0.59.1_Linux-64bit.deb

В Kali можно установить trivy через пакетный менеджер sudo apt install trivy

🔍 Сканирование:
⏺️fs - все файлы по определённому пути;
⏺️vm - образы виртуальных машин;
⏺️k8s - кластеры Kubernetes;
⏺️aws - УЗ AWS на наличие неправильных конфигураций;
⏺️repo - Git репозитории;
⏺️rootfs - корневая файловая система;
⏺️image - Docker-образы;
⏺️config - проверка корректности для конфигурационных файлов.

💱 Примеры использования:
Сканирование образа Docker

trivy image image_name

Сканирование файловой системы в текущем расположении

trivy fs ./

Сканирование образа с указанием уровня критичности уязвимостей

trivy image --severity HIGH,CRITICAL image_name

Сканирование k8s с сохранением отчета в файл

trivy k8s --output report.txt k8s_name

KeePassXC - это бесплатное, открытое и кроссплатформенное программное обеспечение для управления паролями. Оно позволяет пользователям безопасно хранить и управлять своими паролями, логинами и другими конфиденциальными данными.

Основные функции KeePassXC:
⏺️Хранение паролей в зашифрованной базе данных
⏺️Генерация сильных и уникальных паролей
⏺️Поиск и фильтрация записей
⏺️Импорт и экспорт данных из других менеджеров паролей
⏺️Поддержка плагинов и расширений

KeePassXC использует передовые методы шифрования, такие как AES-256 и ChaCha20, для защиты данных пользователей.

KeePassXC - OpenSource. Код программы доступен для просмотра и аудита.

📌Ссылка: https://keepassxc.org/

lsassy — инструмент, написанный на Python для удалённого извлечения учётных данных на нескольких хостах. Он использует проект impacket для удалённого считывания необходимых байтов в дампе lsass и pypykatz для извлечения учётных данных.

🐍 Установка производится в одну команду python3 -m pip install lsassy

😮 Поддерживает различные методы дампа: comsvcs, comsvcs_stealth, dllinject, dumpert, dumpertdll, edrsandblast, mirrordump, mirrordump_embedded, nanodump, nanodump_ssp_embedded, ppldump, ppldump_embedded, procdump, procdump_embedded, rawrpc, rawrpc_embedded, rdrleakdiag, silentprocessexit, sqldumper, wer.

🔑 Аутентификация возможна через хеш (-H), по билету (-k) и паролю (-p). Для успешной работы утилиты у пользователя должны быть права локального администратора на удалённых устройствах.

В качестве цели могут быть указаны ip адреса, диапазон адресов, CIDR, hostname, FQDN, файл.

lsassy -d dom.lab -u user -p pass 192.168.1.0/24

Для некоторых методов, например, procdump требуются параметры, которые передаются через -O, в них указывается путь к procdump.

lsassy -d hackn.lab -u user -p pass dc.dom.lab -m procdump -O procdump_path=/opt/Sysinternals/procdump.exe

C помощью инструмента можно собирать билеты Kerberos (после -K передаем путь для сохранения тикетов).

lsassy -d hackn.lab -u user -p pass dc.dom.lab -K '/tmp/kerberos_tickets'

Сбор ключей DPAPI (после -M указываем путь для сохранения).

lsassy -d hackn.lab -u pixis -p P4ssw0rd dc01.hackn.lab -M '/tmp/keys.txt'

X8

Инструмент помогает идентифицировать скрытые параметры, которые потенциально могут быть уязвимы или раскрывать интересную функциональность, которую могут пропустить другие тестировщики. Его высокая точность достигается за счет построчного сравнения страниц, сравнения кодов ответов и отражений.

Преимущества:
1️⃣Быстро.
2️⃣Предлагает гибкую конфигурацию запросов за счет использования шаблонов и точек внедрения.
3️⃣Высокая масштабируемость, возможность проверки тысяч URL-адресов за один запуск.
4️⃣Обеспечивает более высокую точность по сравнению с аналогичными инструментами, особенно в сложных случаях.
5️⃣Способность обнаруживать параметры с неслучайными значениями, такими как admin=true.
6️⃣Высокая настраиваемость с широким диапазоном настраиваемых параметров.
7️⃣Достигает почти необработанных запросов за счет модификации внешней библиотеки

💡Примеры использования:
✔️Проверить параметры в запросе

x8 -u "https://example.de/" -w [PATH_TO_WORDLIST]

✔️Отправить параметр в теле

x8 -u "https://example.de/" -X POST -w [PATH_TO_WORDLIST]

или с уникальным телом

x8 -u "https://example.de/" -X POST -b '{"x":{%s}}' -w [PATH_TO_WORDLIST]

📌Ссылка на утилиту: https://github.com/Sh1Yo/x8

Google тайно установил приложение, которое сканирует фото на вашем смартфоне 👀

Пользователи Android внезапно обнаружили на своих устройствах новое системное приложение — Android System SafetyCore. Оно устанавливается без согласия пользователей и работает в фоновом режиме.

После паники в интернете Google спустя несколько дней всё-таки подтвердил, что это приложение анализирует изображения в Google Messages и скрывает откровенный контент.

Что именно делает SafetyCore?
🔸 Приложение автоматически сканирует изображения в Google Messages на наличие 18+ контента.
🔸 Если обнаружен откровенный снимок, он размывается (блюрится) и появляется предупреждение.
🔸 Google заявляет, что вся обработка происходит на устройстве и файлы не загружаются в облако.

Почему пользователи возмущены?
1️⃣ Приложение установилось скрытно.
Google даже не уведомил пользователей о том, что добавляет новую систему сканирования изображений. Просто однажды люди заметили у себя на телефонах приложение, которое они не устанавливали.

2️⃣ Жрёт ресурсы.
SafetyCore требует около 2 ГБ оперативной памяти, что делает его непригодным для слабых смартфонов. Владельцы бюджетных Android-устройств уже жалуются на лаги и подвисания.

3️⃣ Кому-то это нужно?
Приложение работает только в Google Messages, а этот мессенджер почти никто не использует. Но Google всё равно принудительно загнал SafetyCore на миллионы устройств.

4️⃣ Сегодня не отправляет, а завтра?
Google уверяет, что фото остаются на устройстве и не передаются в облако. Но многие пользователи не верят в это. Уже сейчас компания собирает кучу данных о пользователях для таргетированной рекламы.

5️⃣ Что, если ИИ ошибётся?
Блюрятся только "откровенные" фото? А если система решит, что что-то на вашей картинке — это "неподобающий контент"? У Google уже были проблемы с алгоритмами, которые ошибочно блокировали пользователей и контент.

Google снова тестирует границы дозволенного. Как вам такое обновление?

#новости

🚩 Новые задания на платформе Codeby Games!

🏆  Категория Квесты — Микроо

🎢 Категория Разное — Love++

Приятного хакинга!

Исследователи Reversing Labs обнаружили две вредоносные ML-модели на Hugging Face, крупнейшей платформе для обмена AI-моделями. Несмотря на наличие в них вредоносного кода, инструменты безопасности Hugging Face не отметили их как «опасные».

❓ Как работает атака?
Злоумышленники использовали уязвимость Pickle-файлов – формата сериализации в Python, который может исполнять код во время загрузки модели. Хотя вредоносные Pickle-файлы встречаются не впервые, исследователи выявили новую технику обхода защиты Picklescan – сканера, используемого Hugging Face для выявления угроз.

🔍 Метод nullifAI
Атакующие упаковали модели в формате PyTorch, но вместо стандартного ZIP использовали 7z, что сделало их невидимыми для Picklescan. Более того, файлы содержали «сломанные» Pickle-инструкции, из-за чего сканер не мог их корректно проверить.

💡 Проблемы в безопасности Hugging Face
Эксперты считают, что Hugging Face полагается на черный список опасных функций, что не защищает от новых угроз. Picklescan проверяет Pickle-файлы перед анализом, но сам механизм десериализации исполняет команды по мере их считывания. Вредоносный код в начале потока может обойти защиту и остаться незамеченным.

🗣️ Reversing Labs сообщили о проблеме в службу безопасности Hugging Face. Модели удалили в течение 24 часов, а Picklescan обновили, чтобы он мог обнаруживать угрозы в «сломанных» Pickle-файлах.

Если вы работаете с AI-моделями, избегайте загрузки Pickle-файлов из непроверенных источников. Атаки на ML-платформы становятся все изощреннее — будьте внимательны!

#новости