Тайное уравнение, позволявшее США следить за всеми

В 2006 году АНБ внедрило в стандарт генерации случайных чисел (Dual EC DRBG) скрытую лазейку. На бумаге - это эллиптическая криптография. А на деле уравнение, позволяющее читать трафик, считавшийся зашифрованным. Уязвимость отрицали до утечек Сноудена.

⏺В статье показывается, как именно работает этот бэкдор: от математической идеи до Python-реализации. Рассказывают, как через публичные параметры можно восстановить seed и предсказать весь вывод.

ZeroDay | #Статья

Favirecon: разведка через favicon

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: утилита для разведки целей по их favicon’ам. Она хеширует и сверяет иконки сайтов с базой известных значений, помогая определить используемые технологии, WAF, панели админки или публичные сервисы.

⏺Как это работает: Каждый сайт почти всегда отдает favicon.ico, и его содержимое уникально для CMS, панелей или сервисов. Favirecon берет этот файл, считает хеш (обычно mmh3), и сравнивает с уже известными.

⏺Примеры использования

Проверка одного домена:

favirecon -u https://example.com

Анализ списка целей:

favirecon -l targets.txt

Сканирование по сети (CIDR):

favirecon -u 10.10.0.0/24 -cidr

Поиск конкретного favicon-хеша (например, Kibana):

favirecon -hash 116323821

Запуск через прокси:

favirecon -u https://target.com -px http://127.0.0.1:8080

ZeroDay | #Инструмент

Разведка с Nmap

👋 Приветствую в мире цифровой безопасности!

Сегодня разберём, как эффективно юзать Nmap

⏺Nmap не равно просто “посканить порты”: Правильная разведка - это полдела. А если вы умеете читать между строк (точнее, между флагами TCP/IP) - флаг почти у вас в кармане.

1️⃣Определение ОС по TTL: ICMP-запрос возвращает TTL=128 - с вероятностью Windows. Убирает догадки ещё на этапе разведки.

2️⃣Сканирование портов и сбор данных: Простая команда:

sudo nmap -sS -n -Pn target

вернёт список открытых TCP-портов — тут их было 7

3️⃣Выявление hostname через SMB:

sudo nmap -sV -n -Pn -p445 target

SMB-баннер дал имя хоста (например, NIX-NMAP-DEFAULT)

4️⃣Генерация отчёта в HTML:

sudo nmap -sS -n -Pn -oX scan.xml target
xsltproc scan.xml -o scan.html

И последнее порт-число = 31337

5️⃣NSE: скрипты для discovery flag:

sudo nmap -p80 --script discovery target

помогли найти /robots.txt с флагом

ZeroDay | #Nmap

Zeroization: как правильно уничтожать секреты

👋 Приветствую в мире цифровой безопасности!

Расскажу про обнуление чувствительных данных, или zeroization.

⏺Что это: Zeroization - такая практика явного стирания из памяти ключей, токенов, паролей и других секретов сразу после использования. Чтобы никакая часть программы, отладчик или хакер не могли их потом восстановить.

⏺Зачем это важно: Когда секрет больше не нужен - это не значит, что он исчез. Он может оставаться в оперативной памяти, в swap-файле, или даже в дампе после аварии. Zeroization по факту уменьшает поверхность утечки, особенно в случаях компрометации устройства.

⏺Где используется:
➡️В криптографических библиотеках (OpenSSL, libsodium)
➡️В аппаратных токенах (HSM, TPM)
➡️В протоколах военного уровня (например, при «самоуничтожении» ключей)

⏺Но есть нюанс: Компилятор может оптимизировать «ненужное» зануление. Поэтому используются разные специальные функции, вроде explicit_bzero() (Linux/BSD) или SecureZeroMemory() (Windows), которые гарантируют сохранение инструкции.

ZeroDay | #zeroization

📝 AppArmor vs. SELinux: в чём разница?

Оба - системы мандатного контроля доступа (MAC), которые защищают Linux от непрошенных действий даже суперпользователя. Но работают они по-разному.

Давайте разберёмся по шагам 👇

AppArmor

1️⃣Использует пути к файлам для определения доступа.
2️⃣Политики проще — как список разрешённых маршрутов.
3️⃣Легче настроить, особенно для новичков.
4️⃣Позволяет делать отдельные локальные правила для каждого приложения.
5️⃣Чаще всего используется в Ubuntu и openSUSE

SELinux

1️⃣Основан на метках (labels) — каждому объекту и процессу присваивается контекст.
2️⃣Позволяет тонкую настройку по пользователям, ролям, типам.
3️⃣Защищает всю систему целиком, не только приложения.
4️⃣Многоуровневая политика безопасности.
5️⃣По умолчанию стоит в Red Hat, CentOS, Fedora.

ZeroDay | #ИБ

Telegram Web съел 30% моего 16-ядерного процессора. Майнер в браузере или что-то другое?

Telegram Web несколько дней подряд грузил 30% моего 16-ядерного CPU — даже когда вкладка была закрыта. Я заметил это по гулу кулеров и странной активности chrome.exe. Оказалось, виноват некий rlottie.worker.js.

⏺В статье будет расследование с аномалиями: Service Worker, живущий даже после ребута, белый экран вместо UI, воркеры, запускаемые через blob:, и подозрительно активный crypto.worker.

ZeroDay | #Статья

LazyOwn: AI, который меняет правила игры в RedTeam

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что там такого: LazyOwn — это так то первый в мире RedTeam/APT фреймворк с ИИшкой в центре управления.
AI помогает управлять сложными кампаниями, а продвинутые rootkit-модули и самоконфигурируемые бекдоры маскируют атаки, чтобы никто не заметил твоих действий.

⏺Почему это реально круто: Буквально полезнейший партнёр в атаке. AI помогает подстраивать команды под любую цель, а 333+ готовых атак и интеграция с Atomic RedTeam дают безграничные возможности. Управляйте всем через удобный веб или консоль из любой точки мира, а крутые rootkit-модули и самонастраивающиеся бекдоры надёжно прячут ваши следы.

ZeroDay | #Инструмент

DDoS-защита или как вам продают страх

👋 Приветствую в мире цифровой безопасности!

Расскажу чуток правды о рынке DDoS-защиты. И узнаете, почему вам, ну скорее всего, не нужен дорогой анти-DDoS.

⏺Что происходит при атаке: сайт «ложится» из-за лавины запросов - чаще всего к статическим файлам (например, картинке). Хостинг это замечает и отключает сайт. Ну и потом вам предлагают «решение» за деньги.

⏺Почему именно мой сайт: Иногда атака попадает «прицепом», чтобы скрыть реальную цель. Трафик от ботнета размазывают по случайным сайтам, чтобы запутать фильтры и SOC’и.

⏺Атака на провайдера, не на вас: L3/L4-атаки — это удары по каналам провайдера. Защита от них - это защита их инфраструктуры. Часто она уже включена в тариф

⏺А вот L7 - уже реально ваша проблема: Если атакуют сам сайт (через формы, страницы, API) - это уровень L7. И вот тут начинаются предложения WAF, платных прокси, облаков и подписок на «защиту от ботов».

⏺Можно ли защититься самому: Да, вполне. Самый простой способ - поставить перед сайтом JS-чек, как делает CloudFlare. Он отсекает простых ботов мгновенно. Делается это через nginx, Apache или даже простую страницу на отдельном сервере.

ZeroDay | #DDoS

Жёстко защищаем SSH: отключаем всё лишнее

👋 Приветствую в мире цифровой безопасности!

Расскажу, как настроить SSH так, чтобы и вам было удобно, и атакующему почти невозможно.

⏺Скрываем баннеры и метаинформацию: Удалим лишние детали, которые помогают хакеру на этапе fingerprinting:

# SSH
sed -i 's/^#Banner.*/Banner \/dev\/null/' /etc/ssh/sshd_config
echo "" > /etc/issue.net
echo "" > /etc/issue

# Nginx
server_tokens off;

⏺Отключаем ICMP и снижаем TTL: Не палимся в ping’ах и сканерах:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
sysctl -w net.ipv4.ip_default_ttl=61

TTL 64 почти всегда Linux. Сделаем чуть ниже, чтобы не выдать ОС.

⏺Включаем TCP Stealth Mode: Прячем открытые порты от nmap и masscan:

iptables -A INPUT -p tcp --syn -m recent --name portscan --set
iptables -A INPUT -p tcp --syn -m recent --name portscan --update --seconds 60 --hitcount 4 -j DROP

Скрипты для быстрой разведки будут получать пустой ответ или баниться.

⏺Логируем то, что обычно не логируют: Добавим контроль доступа к редко проверяемым местам:

auditctl -w /etc/crontab -p wa
auditctl -w /var/log/auth.log -p w

Если кто-то начнёт ковырять автообновления или чистить следы - узнаем первыми.

ZeroDay | #безопасность

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺Повторное использование сокета (socket reuse shell): Если у вас уже есть соединение с сервером (например, через баг), можно не открывать новое, а “подцепиться” к существующему:

dup2(sock, 0);
dup2(sock, 1);
dup2(sock, 2);
execve("/bin/sh", 0, 0);

Это даст вам интерактивный shell — даже если сервер блокирует исходящие подключения. Часто используют, когда outbound-трафик закрыт.

⏺LD_PRELOAD для подмены системных функций: Некоторые программы доверяют переменной LD_PRELOAD. Это значит, вы можете подсовывать им свою библиотеку, которая изменит поведение:

// preload.c
int getuid() { return 0; }

Собираем и подставляем:

gcc -shared -fPIC -o preload.so preload.c
LD_PRELOAD=$PWD/preload.so ./some_binary

Так можно обмануть программу и, например, сделать так, чтобы она “думала”, что вы root.

⏺Подмена системной команды через PATH: Если программа вызывает команды вроде whoami, а вы можете изменить переменную окружения PATH - можно подсунуть свою:

echo "/bin/bash" > whoami
chmod +x whoami
export PATH=$PWD:$PATH
sudo some_script

Программа подумает, что вызывает системный whoami, а на деле выполнит shell.

ZeroDay | #пентест

«Срочно требуется твоя помощь: войди в мой iCloud»

Всё начинается с безобидной просьбы: «войди в мой iCloud, у меня проблемы с телефоном». Через минуту — ваш iPhone в режиме пропажи, пароль сменён, а доступ к устройству просят выкупом.

⏺В статье о том, как старая схема с фишингом и корпоративными Apple ID до сих пор успешно работает. Объясняем, как злоумышленники захватывают устройства, даже не касаясь их, и что делать, если вы уже ввели чужой логин.

ZeroDay | #Статья

CDK: тестируем изоляцию в Docker и Kubernetes

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Что это: CDK — это такой «многофункциональный нож» для тех, кто хочет узнать, как изящно взломать контейнер и разгулять по всей сети Kubernetes.

⏺Что умеет: За один запуск CDK проверит ваши capabilities, осмотрит точки монтирования, изучит процессы и сокеты, а также выведет подсказки, что именно можно юзать для атаки или защиты.

⏺Как использовать: Запускаете CDK с правами, даёте доступ к хосту — и получаете полный обзор безопасности. Можно прямо из контейнера пробовать разные эксплойты или собрать инфу для последующего анализа.

docker run --rm -it --cap-add=ALL --privileged --pid=host -v /:/host ghcr.io/deepfence/cdk-go:latest

ZeroDay | #Инструмент