FLARE-FLOSS: Детектор скрытых угроз в бинарных файлах

Представьте, что перед вами скомпилированная программа — тёмный лес из байтов, где могут прятаться зловредные строки, пароли, URL-адреса вредоносных серверов или даже целые скрипты. Как их найти, если исходного кода нет?

FLARE-FLOSS (Fast Library Acquisition for String Sections) — инструмент от Mandiant (ныне часть Google Cloud), который вытаскивает спрятанные строки из исполняемых файлов, даже если они зашифрованы или обфусцированы.

🔴 Зачем нужен FLOSS?
Многие вредоносные программы (и даже легальные приложения) прячут важные строки:
▪️Команды для C2-серверов
▪️Ключи шифрования
▪️Ссылки на дополнительные payload-ы
▪️Системные пути и имена процессов для антиотладки
Обычные утилиты вроде strings не всегда справляются, особенно если данные закодированы или динамически собираются в памяти. FLOSS решает эту проблему, применяя статический анализ и эмуляцию кода.

⤵️ FLOSS использует три метода извлечения строк:
▪️Обычный поиск (как `strings`) – находит ASCII и Unicode-строки.
▪️Анализ стековых строк – восстанавливает строки, которые собираются в рантайме (например, через mov или `push`).
▪️Эмуляция кода – выполняет статическую эмуляцию, чтобы выявить строки, которые создаются динамически.

📍 Допустим, у нас есть вредоносный файл malware.exe. Запустим FLOSS:

floss malware.exe

И увидим что-то вроде:

...
0x401020: http://malicious-server.com/payload.bin  
0x4020A0: ThisIsASecretKey123  
0x4033F0: C:\Windows\System32\wscript.exe  
...  

Эти строки могли быть скрыты от обычного strings, но FLOSS их нашёл!

📍 Установка и использование
Способ 1: Через pip

pip install flare-floss

Способ 2: Из исходников

git clone https://github.com/mandiant/flare-floss  
cd flare-floss  
python3 setup.py install  

Проверим установку

floss --version

Базовые команды

# Простой анализ  
floss suspicious_file.exe  

# Только статические строки (без эмуляции)  
floss --no-static-strings malware.bin  

🔴 Иногда могут возникать проблемы из-за конфликтов в окружении. Создайте чистое виртуальное окружение и используйте FLOSS дальше:

python3 -m venv ~/floss-venv
source ~/floss-venv/bin/activate
pip install flare-floss

🗣️ «Без воды, с практикой, с поддержкой»

🗣️ «Весь материал закрепляется на практике, преподаватели реально помогают, а курс — без воды. Чувствуешь, как прокачиваешься с каждым модулем».

🗣️ «Порадовало, что есть тестовые зоны для отработки, и темы реально актуальные — ничего лишнего».

Спасибо за честный и подробный отзыв на курс «Анализ защищенности инфраструктуры на основе технологий Active Directory»!
Мы ценим обратную связь от студентов и всегда рады видеть, что обучение приносит пользу! 😎

📎 Читать полный отзыв

Новый поток стартует с 18 августа!
👉 Присоединиться!

Telegram Extractor

Telegram Extractor - Это набор скирптов которые помогут анализировать данные хранящиеся в Telegram.

💡Справка:
⏺️tgnet-extractor.py - Извлекает файл files/tgnet.dat, содержащий IP-адреса датацентра, главные секреты и т. д. Этот скрипт анализирует файл и выводит все значения на стандартный вывод
⏺️message-extractor.py - Извлекает сообщения из байтов, хранящихся в столбце SQLite messages.data Telegram.
⏺️encrypted-chat-extractor.py - Извлекает информацию из байтов, хранящихся в sqlite-столбце enc_chats.data Telegram, который содержит основной секретный ключ auth_key секретного чата и другие данные.

📎Установка:

git clone https://github.com/tsusanka/telegram-extractor.git

cd telegram-extractor

📌Использование:

python3 tgnet-extractor.py [PATH_TO_FILE]

python3 message-extractor.py [PATH_TO_FILE]

python3 encrypted-chat-extractor.py [PATH_TO_FILE]

К сожалению, получить доступ к файлу вы должны вручную. По умолчанию, этот файл храниться в /data/data/org.telegram.messenger, но для доступа, видимо, нужен root.

Traitor: Утилита для автоматизации повышения привилегий в Linux

Traitor — это инструмент с открытым исходным кодом, созданный для автоматизированного поиска и использования уязвимостей, позволяющих повысить привилегии в Linux-системах. Разработанный для пентестеров и специалистов по безопасности, Traitor автоматизирует сложные задачи, связанные с эскалацией прав, и помогает выявлять потенциальные угрозы в инфраструктуре.

⚡️ Основные возможности Traitor
➡️ Автоматизированный анализ системы:
• Сканирование на наличие потенциальных путей эскалации привилегий.
• Проверка на уязвимые бинарные файлы с правами SUID/SGID.
• Обнаружение нестандартных настроек sudo и cron.
➡️ Автоматическая эксплуатация уязвимостей:
• Использует известные эксплойты для повышения привилегий.
• Выполняет атаки на основе обнаруженных проблем конфигурации.
➡️ Информативный вывод:
• Предоставляет подробные отчёты о найденных уязвимостях.
• Предлагает рекомендации по устранению проблем.
➡️ Поддержка популярных векторных атак:
• Обнаружение уязвимостей в настройках PATH.
• Проверка на небезопасные монтирования файловых систем.
• Использование некорректно настроенных бинарных файлов.
➡️ Кроссплатформенность:
• Работает на большинстве дистрибутивов Linux.


⬇️ Установка и использование

1️⃣ Скачивание готового бинарного файла
Разработчики предоставляют готовые сборки Traitor для различных платформ. Чтобы установить последнюю версию:
➡️ Перейдите на страницу релизов.
➡️ Скачайте версию, соответствующую вашей операционной системе:
• traitor-amd64 для Linux на архитектуре x86_64.
• traitor-arm64 для ARM-устройств.
➡️ Сделайте файл исполняемым:

chmod +x traitor

2️⃣ Запуск анализа:
Для поиска путей повышения привилегий выполните:

./traitor

3️⃣ Автоматическая эксплуатация:
Чтобы сразу попытаться использовать найденные уязвимости:

./traitor -a

4️⃣ Дополнительные параметры:
Просмотрите все доступные флаги:

./traitor --help

FileFix как альтернатива ClickFix. ClickFix — это атака методом социальной инженерии, которая побуждает пользователей неосознанно выполнять вредоносный код на их устройствах, обычно через диалоговое окно «Выполнить», которое вызывается клавишами Windows + R.

Независимый исследователь изобрел более изощренный метод атаки, который позволяет пользователям выполнять команды ОС, не выходя из браузера.

👌Функциональность загрузки файлов в браузере
Для создания кнопки загрузки файлов достаточно input HTML-элемента с атрибутом type и значением file.

<input type="file" />

😨При нажатии на кнопку «Выбрать файл» открывается окно проводника и адресную строку проводника можно использовать для выполнения команд ОС. Оказалось, что это НЕ заблокировано браузером. Например, запуская команду cmd /с ping example.com и глядя на дерево процессов Chrome, видно, что cmd.exe создается одним из многочисленных процессов Chrome.

💥 FileFix атака
Теперь остается придумать предлог, чтобы заставить пользователя вставить туда вредоносную команду. Учитывая, что проводник обычно ассоциируется с доступом к файлам, фишинговая страница может утверждать, что пользователь получил доступ к файлу, и предлагать ему найти его с помощью адресной строки в проводнике.

На фишинговой странице есть кнопка «Открыть проводник», которая при нажатии запускает проводник через функцию загрузки файлов и копирует команду PowerShell в буфер обмена. Очень удобно, что адресная строка может быть автоматически выделена с помощью CTRL + L или ALT + D, поэтому обязательно нужно об этом сказать в пользовательских инструкциях:

Кроме того, вредоносная команда PowerShell объединит фиктивный путь к файлу с комментарием, чтобы скрыть команду и вместо этого отобразить путь к файлу.

Блокировка выбора файла
Пользователь также может намеренно или случайно выбрать файл для загрузки, потому что, в конце концов, это и есть основная функция использования <input type="file">. В коде страницы содержаться строчки блокирующие загрузку, перехватывая событие выбора файла и немедленно очищая поле ввода, отображая сообщение и пытаясь снова открыть окно проводника.

🤛 FileFix2
При дальнейшем тестировании исследователь обнаружил ещё одно интересное поведение, характерное для метода выполнения в проводнике. У исполняемых файлов (например, .exe) при выполнении через адресную строку проводника удаляется атрибут Mark of The Web (MOTW).

Исследователь понял, что это может быть использовано потенциальными злоумышленниками, заставив кнопку «Открыть проводник» загружать файл, копировать %USERPROFILE%\Downloads\payload.exe в буфер обмена и открывать окно проводника. Если предположить, что загруженные файлы сохраняются в %USERPROFILE%\Downloads, это должно запустить полезную нагрузку.

Однако у этого варианта есть недостаток, который следует учитывать. Microsoft Defender и Google Safebrowsing обычно предупреждают пользователей перед сохранением исполняемых файлов, поэтому пользователю может потребоваться сделать больше кликов, чтобы заставить его работать.

Демоверсию представленного варианта атаки можно увидеть здесь.

❗️Учитывая нынешний всплеск атак с использованием ClickFix, нетрудно представить, как эта техника применяется для того, чтобы обманом заставить пользователя неосознанно выполнить вредоносную команду. Стоит отслеживать в браузерах любые подозрительные дочерние процессы (например, cmd.exe, powershel.exe, mshta.exe).

🚩 Новые задания на платформе HackerLab!

🔎 Категория OSINT — Мировая знаменитость

🌍 Категория Веб — Тссс, 9.2.2.3!
——————————————

🗂 В архив добавлены задания с прошлых соревнований + райтапы:

🟠Реверс-инжиниринг - Обычная капибара
🟠Стеганография - Письмо Деду Морозу

Приятного хакинга!

🔗 Urx

Инструмент командной строки, предназначенный для сбора URL-адресов из OSINT-архивов, таких как Wayback Machine и Common Crawl. Написан на языке Rust для повышения эффективности, использует асинхронную обработку для быстрого запроса нескольких источников данных. Упрощает процесс сбора информации о URL-адресах для заданного домена, предоставляя полный набор данных, который можно использовать для различных целей, включая различного рода тестирования безопасности.

Характеристики
🌟Параллельная выборка URL-адресов из нескольких источников (Wayback Machine, Common Crawl, OTX);
🌟Возможность фильтровать результаты по расширениям файлов, шаблонам или предустановленным параметрам;
🌟Поддержка нескольких форматов вывода: обычный текст, JSON, CSV, вывод результатов на консоль или в файл, либо возможность передачи их через стандартный ввод для интеграции в конвейерную обработку;
🌟Фильтрация и проверка URL-адреса на основе кодов состояния и HTTP-шаблонов;
🌟Возможность извлечения дополнительных ссылок из собранных URL-адресов;
🌟Хорошо работает в связке с другими инструментами для разведки.

🚘 Установка

git clone https://github.com/hahwul/urx.git
cd urx
cargo build --release
После компиляции инструмент будет доступен по пути target/release/

👩‍💻Примеры использования
Вывод в формате JSON
./urx example.com -f json -o results.json

Фильтрация на основе кода состояния HTTP
./urx example.com --include-status 200,30x,405 --exclude-status 20x

Извлечение дополнительных ссылок из собранных URL-адресов
./urx example.com --extract-links

Исключение URL-адресов из карты сайта

./urx example.com --exclude-sitemap

Использование провайдеров VirusTotal и URLScan

./urx example.com --providers=vt,urlscan --vt-api-key=*** --urlscan-api-key=***

Исключение определенных шаблонов

./urx example.com --exclude-patterns static,images

Как защитить IT-инфраструктуру компании от хакеров и утечек? 🔐

Под руководством опытных кураторов вы разберётесь в ключевых процессах мониторинга безопасности и научитесь внедрять их на практике

🔴Подробнее

Что ждёт на курсе?
✨ Threat Intelligence & Hunting — ищем угрозы
✨ Vulnerability & Patch Management — закрываем дыры быстрее хакеров
✨ Incident Response (IR) — отрабатываем атаки по шагам
✨ Администрирование СЗИ — настраиваем защиту как профи

Что получите в итоге?
🔸Готовые схемы защиты под разные бизнес-сценарии
🔸 Навыки, которые ценят в SOC, CERT и отделах безопасности
🔸Сертификат

Кому подойдёт?
✅ Начинающим специалистам по инфобезопасности
✅ Сисадминам, которые хотят перейти в ИБ
✅ IT-специалистам, уставшим от "латания дыр" без системы

🔴 Успейте записаться до 7 августа

🚀 По всем вопросам пишите @Codeby_Academy

Depix

Depix — инструмент для восстановления паролей из пикселизированных снимков экрана.

💡Описание:
⏺️Эта реализация работает на пикселизированных изображениях, созданных с помощью линейного блочного фильтра.

📎Установка:

git clone https://github.com/spipm/Depixelization_poc.git

cd Depixelization_poc

📌Использование:

python3 depix.py -p [PATH_TO_IMAGE] -s images/searchimages/[PATH_TO_IMAGE].png

Вы можете посмотреть, находит ли детектор коробок ваши пиксели с помощью tool_show_boxes.py.

python3 tool_show_boxes.py -p [PATH_TO_IMAGE] -s images/searchimages/[PATH_TO_IMAGE].png

AutoRecon: Автоматизированный инструмент для сбора информации в пентесте

AutoRecon — это инструмент для автоматизированного сбора информации при проведении тестов на проникновение. Разработанный Tib3rius, он объединяет множество популярных утилит (таких как nmap, masscan, gobuster, nikto и другие) в единый конвейер, минимизируя ручной труд и ускоряя процесс разведки.

🌟 Возможности
- Автоматическое сканирование портов (с использованием masscan и `nmap`)
- Определение сервисов и запуск соответствующих инструментов для углублённого анализа
- Структурированное сохранение результатов в отдельные директории
- Поддержка многопоточности для ускорения сканирования
- Гибкая настройка через конфигурационные файлы

⬇️ Установка
Перед использованием необходимо установить зависимости:

git clone https://github.com/Tib3rius/AutoRecon.git
cd AutoRecon
pip install -r requirements.txt

Для корректной работы также потребуются установленные в системе nmap, masscan и другие используемые утилиты.

Для полноценного сканирования лучше установить все зависимости:

sudo apt install feroxbuster oscanner tnscmd10g

➡️ Пример использования
Базовое сканирование одной цели

python3 autorecon.py 127.0.0.1

Сканирование нескольких целей

python3 autorecon.py 192.168.1.100 192.168.1.101 192.168.1.102

Сканирование подсети

python3 autorecon.py 192.168.1.0/24

Структура выходных данных
После завершения работы AutoRecon создаёт следующую структуру директорий:
results/
└── 192.168.1.100/
├── scans/
│ ├── _quick_tcp_nmap.txt
│ ├── _full_tcp_nmap.txt
│ └── _udp_nmap.txt
├── exploit/
├── loot/
└── report/

🙂Преимущества перед ручным сканированием
🔸Скорость — параллельное выполнение задач сокращает время разведки.
🔸Полнота — автоматический запуск релевантных инструментов снижает риск пропуска важных данных.
🔸Стандартизация — единый формат отчётов упрощает анализ результатов.
🔸Масштабируемость — возможность сканирования множества целей без дополнительных усилий.

❌Ограничения
- Требует предустановленных зависимостей (`nmap`, masscan и др.)
- Может оставлять заметные следы в логах из-за агрессивного сканирования
- Не заменяет ручной анализ критически важных систем

Используйте этот инструмент только в образовательных целях.

От теории к практике: топ платформ по кибербезопасности

Хотите перейти от теории к реальным навыкам в информационной безопасности, но не знаете, с чего начать?

💡Мы подготовили подробный гайд по лучшим платформам для легальной практики в ИБ.

В статье разбираем:
💫Онлайн-лаборатории — готовые тренажеры с задачами по взлому, защите и расследованию инцидентов.
💫Локальные стенды — как создать свою лабораторию для тестирования уязвимостей.
💫Кому какая платформа подойдет — для новичков, специалистов Red Team и Blue Team

📍Узнайте, где безопасно оттачивать навыки и как выбрать подходящий формат обучения.

➡️Читайте полный обзор в статье!