💻 «Лаборатория Касперского» рассказала о Linux-версии вредоноса DinodasRAT

🗄«Лаборатория Касперского» рассказала о Linux‑версии многоплатформенного бэкдора под названием DinodasRAT. У этого вредоносного ПО есть и другое название называют — XDealer. Windows‑версию ВПО специалисты ESET обнаружили и опубликовали информацию о нёй в октябре 2023 года. При этом по заявлению специалистов «Лаборатория Касперского», они в то же время обнаружили первые следы Linux‑версии вредоноса.

🗄DinodasRAT — это ВПО, позволяющее собирать широкий спектр конфиденциальных данных со скомпрометированных хостов. Вредонос способен выполнять файловые операции, изменять адреса, перечислять и завершать запущенные процессы, выполнять команды оболочки, загружать новую версию бэкдора и даже удалять себя. Кроме того, ВПО реализует меры, чтобы избежать детектирования с помощью инструментов отладки и мониторинга. Для этого используется алгоритм Tiny Encryption Algorithm (TEA) для шифрования сообщений. После запуска вредонос постоянно находится на хосте с использованием скриптов запуска SystemV или SystemD и периодически обращается к удалённому серверу через TCP или UDP для получения команд.

🗄Исследователи кибербезопасности полагают, что DinodasRAT нужен для получения и поддержание доступа через серверы Linux, а не разведки. Linux‑версия вредоноса в основном предназначена для дистрибутивов на базе ОС Red Hat и Ubuntu Linux и была замечена в атаках на Китай, Тайвань, Турцию и Узбекистан, но география ВПО шире.

@linuxkalii

💻 Ботнет Brutus брутфорсит VPN-сервисы

🗄Компания Cisco опубликовала набор рекомендаций и предупредила клиентов об атаках типа password spray, которые нацелены на службы Remote Access VPN (RAVPN), настроенные на устройствах Cisco Secure Firewall. Судя по всему, эта активность связана с ботнетом Brutus.

🗄В Cisco сообщают, что атаки, по всей видимости, нацелены и на другие VPN-сервисы и являются частью разведывательной деятельности неизвестных злоумышленников.

🗄В ходе password spray атак хакеры пытаются ввести один и тот же пароль в нескольких учетных записях, стремясь войти в систему. В руководстве Cisco перечислены индикаторы компрометации (IoC) этой активности, которые помогут обнаружить атаки и заблокировать их. Например, к таковым относится невозможность установить VPN-соединение с помощью Cisco Secure Client (AnyConnect), когда включен Firewall Posture (HostScan).

🗄Еще один признак вредоносной активности — необычно больше количество запросов на аутентификацию, зафиксированное в системных логах. Прочие рекомендации Cisco по защите от этих атак включают:
— включение ведения журналов на удаленном сервере syslog для улучшения анализа и отслеживания взаимосвязи между инцидентами;
— использование TCP shun для ручной блокировки вредоносных IP-адресов;
— настройка ACL для отсеивания неавторизованных публичных IP-адресов при инициировании VPN-сессий;
— использование аутентификации на основе сертификатов для RAVPN, что является более безопасным методом, чем обычные учетные данные.

🗄ИБ-специалист Аарон Мартин (Aaron Martin) полагает, что эта активность и предупреждения Cisco, скорее всего, связаны с новым ботнетом, которому исследователь дал имя Brutus.

🗄 Читать подробнее

@linuxkalii

👩‍💻 Инструмент OSINT на Python для сканирования сайта и извлечения полезной информации.

▪Укажите начальный URL-адрес и автоматически соберите URL-адреса для сканирования через href, robots.txt и карту сайта
▪Извлеките полезную информацию для поиска:
- Электронные письма
- Ссылки в социальных сетях
- Поддомены
- Файлы
- Список просмотренных ссылок на сайты
- Rомментарии
- IP-адреса
▪Маркетинговые теги (UA, GTM и т.д.)
▪"Интересные" находки, такие как контент frame ancestors и ресурсы, возвращающие содержимое в формате JSON
▪ Внутри встроенный FireProx для автоматического создания эндпоинтов для каждого поддомена, смены исходного IP-адреса и очистки в конце
▪Поддержка HTTP/SOCKS прокси

git clone https://github.com/chm0dx/creepyCrawler.git
cd creepyCrawler
pip install -r requirements.txt

• Github

@linuxkalii

💻 Релиз открытого инструмента для сетевого мониторинга Sniffnet 1.3.0

🗄8 апреля 2024 года состоялся релиз открытого кроссплатформенного инструмента для сетевого мониторинга Sniffnet 1.3.0. Исходный код проекта опубликован на GitHub под лицензиями MIT и Apache License 2.0. Сетевой инструментарий полностью разработан на языке программирования Rust. Предыдущая стабильная версия проекта (v1.2.2) вышла в августе 2023 года.

🗄 Подробнее

@linuxkalii

💻 Взлом веб-страницы входа в систему с помощью Hydra в Kali Linux

Держите очень полезный туториал о том, как перебирать логины в Интернете с помощью Hydra.

Что внутри?
• Сравнение Hydra с другими средствами взлома
├╼ Особенности
╰╼ Сравнение скоростей
• Установка Hydra в kali linux
• Как использовать Hydra
├╼ Перебор веб-логинов с помощью Hydra
├╼ Сервисный модуль: http-post-form
╰╼ Получение параметров поста с помощью браузера, iceweasel

🗄 Ссылка

@linuxkalii

💻 Техника NTLMRelay – реальная имба на пентесте

🗄В статье описывается атака, использующая отсутствие проверки подлинности отправителя для перенаправления хеша на целевую машину.
Собирается связка Responder + NTLMRelay для проведения атаки.
В результате атаки можно получить доступ к SAM-базе пользователей и другим учетным записям с правами администратора.

🗄 Статья

@linuxkalii

⚡️😈 Создание надежной системы (OSINT) для проведения расследований в отношении могущественных противников

Большая и подробная тнструкция по созданию виртуальной машины для специалиста по OSINT.

• Это пошаговое руководство, которое подробно описывает процесс создания полноценной виртуальной машины для специалиста по OSINT. Следует отметить, что основное внимание уделяется безопасности при проведении расследований.

• Github

@linuxkalii

💻 150+ хакерских поисковых систем и инструментов

🗄Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, red team и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков.
В статье ссылки на некоторые из них.

Статья состоит из 8 объемных разделов:
— метапоисковики и поисковые комбайны
— инструменты для работы с дорками
— поиск по электронной почте и логинам
— поиск по номерам телефонов
— поиск в сети TOR
— поиск по интернету вещей, IP, доменам и поддоменам
— поиск данных об уязвимостях и индикаторов компрометации
— поиск по исходному коду

Enjoy)
🗄 Статья

@linuxkalii

💻 Расширения Firefox для проведения пентеста

🗄Держите отличную подборку расширений, которые можно использовать для эффективного тестирования.
Речь пойдёт о таких мощных инструментах, как Wappalyzer, FoxyProxy, HackTool, Hack bar, Tamper Data и многих других.

🗄 Читать подробнее

@linuxkalii

💻 Коллекции словарей для брутфорса и пентеста

Держите несколько репозиториев, которые содержат наибольшее количество различных словарей, сгруппированных по контексту или типу атаки. Эти репозитории могут быть очень удобными для поиска нужного словаря или для получения обзора существующих вариантов.

🗄 Seclists — это коллекция полезных словарей, сгруппированных по контексту, такому как пароли, пользователи, директории, поддомены, SQL-инъекции и т.д. Этот репозиторий содержит более 600 файлов со словарями разного размера и качества. Seclists также включает в себя некоторые другие ресурсы, такие как эксплойты, шелл-коды, скрипты и т.д.

🗄 Xajkep’s Wordlists — это набор словарей, отобранных и собранных пользователем Xajkep по контексту, такому как директории, файлы, расширения файлов, почтовые провайдеры, пароли и т.д. Эти словари основаны на реальных данных из интернета и могут быть полезны для различных видов атак.

🗄 Bug-Bounty-Wordlists — это репозиторий, который включает в себя все важные словари, используемые при поиске уязвимостей на веб-сайтах. Эти словари охватывают такие области, как поддомены, URL-параметры, HTTP-заголовки, XSS полезные нагрузки, SQL-инъекции и т.д.

Enjoy)

@linuxkalii