Codeby

🎄 Поздравляем с наступающим Новым годом! Желаем крепких паролей, надежной защиты и успехов во всех начинаниях! Пусть ваши знания и навыки помогают строить безопасное будущее для вас, ваших близких и вашего бизнеса. 🥂🥂 Спасибо, что были с нами в этом году. До встречи в 2025-м! ❤️ С любовью, ваш Кодебай! 😎

Итоги года с Кодебай 🎉 Этот год был насыщенным и продуктивным для всех нас! Вот чего мы достигли: 💬 Аудитория: - Более 20 000 новых подписчиков на всех наших платформах (основной канал, форум, ВК, чат и Codeby Games). - В Академии обучились более 5000 учеников, из которых многие уже сделали первый шаг в профессию. ▶️ Обучение и курсы: - Запустили 2 новых курса: "Профессия Пентестер" и "Атака на Active Directory" - Провели 4 масштабных CTF-соревнования под ключ - Получили лицензию ФСТЭК - Вошли в реестр отечественного ПО 🔒 Оценка безопасности: - Более 20 компаний доверили нам проведение пентестов и оценку безопасности своих систем. 🥇 Участие в мероприятиях: - Приняли участие в конференциях: Standoff, КодИБ, KubanCSC, UnderConf и других. Этот год принес нам множество свершений, но мы не останавливаемся! В следующем году нас ждут новые проекты, курсы и интересные вызовы. Спасибо, что остаетесь с нами — именно вы мотивируете нас развиваться и делать лучшее для нашего сообщества!

Итоги CTF от S.E. & Codeby! 🎄 Сегодня мы подводим итоги первого новогоднего CTF! Среди победителей: 🎁 Курс «Боевой OSINT» 🎁 Курс «Специалист Security Operation Center» 🎁 Flipper Zero 🎁 x10 Telegram Premium 🎁 х10 подписок на Codeby Games Спасибо всем кто участвовал — делитесь обратной связью и впечатлениями! До встречи на следующем турнире! 😎 Видео с розыгрышем можно посмотреть по ссылке

Итоги CTF от S.E. & Codeby! 🎄 Сегодня мы подводим итоги первого новогоднего CTF! Среди победителей: 🎁 Курс «Боевой OSINT» 🎁 Курс «Специалист Security Operation Center» 🎁 Flipper Zero 🎁 x10 Telegram Premium 🎁 х10 подписок на Codeby Games Спасибо всем кто участвовал — делитесь обратной связью и впечатлениями! До встречи на следующем турнире! 😎

2024 год стал насыщенным на инциденты в сфере кибербезопасности. Мы собрали самые обсуждаемые новости, которые потрясли индустрию и показали новые вызовы в борьбе с киберугрозами. 1️⃣ Критические уязвимости ICS: призыв CISA CISA призывает критически важные инфраструктуры срочно устранить уязвимости в 9 продуктах ICS, которые угрожают секторам энергетики, транспорта и производства. 2️⃣ Иранские хакеры Cotton Sandstorm: новый уровень угроз Группа Cotton Sandstorm использует ИИ для атак на критическую инфраструктуру и манипуляции выборами, расширяя географию атак. 3️⃣ NIST меняет подход к паролям Больше не нужны сложные пароли и регулярные изменения. Новый стандарт NIST упрощает управление безопасностью учетных данных. 4️⃣ "Yahoo Boys" и всплеск сексторшна Нигерийские киберпреступники организовали массовые атаки на подростков в соцсетях, требуя деньги через шантаж интимными фото. 5️⃣ Рансомвар-атака на Change Healthcare Кибератака на Change Healthcare привела к задержкам в выдаче рецептов для миллионов американцев. Компании пришлось выплатить $22 млн выкупа. 6️⃣ Проблемы с NVD: остановка обогащения CVE База уязвимостей NIST пережила сбои из-за внутренних реформ и бюджетных ограничений, что замедлило обновление данных. 7️⃣ Ransomware на Infosys McCamish: утечка данных 6 млн человек Крупнейшая атака привела к компрометации данных клиентов, включая номера соцстрахования и медицинскую информацию. 8️⃣ Прозрачность цепочки поставок ПО: рекомендации CISA Третий выпуск документа от CISA подчеркивает важность развития SBOM (Software Bill of Materials) для повышения прозрачности в цепочке поставок ПО. 9️⃣ Северокорейский "фейковый" IT-работник в KnowBe4 Компания KnowBe4 стала жертвой схемы трудоустройства хакеров из КНДР. Попытка была вовремя выявлена и предотвращена. 1️⃣0️⃣ Взлом AnyDesk: украден исходный код Популярный софт AnyDesk пострадал от атаки: злоумышленники похитили исходный код и ключи подписи, но пользователи не пострадали. 🔤 Подробнее о каждом событии – ищите на нашем канале! Следите, чтобы быть на шаг впереди киберугроз. Увидимся в новом году!

💵 Взлом Citibank 1994, Сан-Франциско: Русские мафиози заходят в банк, чтобы снять $500,000. Они не знают, что через несколько минут в помещение ворвется ФБР. А в это же время в Тель-Авиве задерживают ещё одного сообщника, пытающегося провернуть похожую операцию. Кто за этим стоит? Таинственный хакер, который взломал системы Citibank и похитил миллионы, ни разу не появившись в отделении банка. 🌐 Как всё началось: История берет начало в Санкт-Петербурге, когда хакер под псевдонимом ArkanoiD нашел уязвимость в сети Citibank, читая журнал для хакеров. Вместе с другими энтузиастами он исследовал систему банка и обнаружил конфиденциальные данные. Но один из членов команды продал эту информацию всего за $100 программисту Владимиру Левину, связанному с известной Тамбовской группировкой. 💥 Идеальное ограбление: Левин использовал сеть Citibank, чтобы перевести миллионы долларов на счета по всему миру. Его "мулы" снимали деньги в разных уголках планеты — от Финляндии до Аргентины, Израиля и США. Каждая операция была дерзкой, быстрой и практически неотслеживаемой.

Citibank и ФБР начали контратаку, расставляя ловушки для соучастников Левина. Операция охватила множество стран и завершилась арестом Левина в Лондоне в 1995 году. Но на этом история не заканчивается.

Однако навыки Левина не соответствовали уровню сложности взлома. В 1998 году пост в блоге от "Арканоида" заявил, что Левин просто купил доступ к операции, а настоящие организаторы взлома остались в тени. После освобождения Левин исчез, породив слухи о его убийстве, смене личности или сотрудничестве с властями. 💬 Как вы думаете, что случилось с Владимиром Левиным? Погиб, скрывается или продолжает работать хакером? Делитесь своими теориями!

Последний шанс участвовать в розыгрыше от Codeby & S.E.! Новое задание уже доступно в нашем боте, а всё что нам известно — игрушечная машинка чип шпион попугай... 🕵‍♂ Уже завтра пройдёт розыгрыш призов среди участников CTF 🎁 А если вам понравилось решать задания — то их можно решать круглый год на платформе codeby.games! 📌 Решить задание и участвовать в розыгрыше: @codeby_se_bot

Создавайте и проверяйте задания по программированию на GitVerse На платформе для работы с исходным кодом GitVerse появился SmartClass — бесплатный инструмент для управления заданиями по программированию. С ним можно создавать, хранить и проверять задачи, а также автоматизировать ревью кода с помощью AI-ассистента GigaCode. В общем, все что нужно – теперь под рукой. Пользователи SmartClass получают все преимущества платформы GitVerse, что дает начинающим специалистам возможность освоить профессиональные инструменты разработки. Решение позволяет не только изучать программирование и код, но и погрузиться в детали работы с такими инструментами и практиками, как CI/CD, Git и многими другими. И, конечно, теперь смело можно отдать рутину аналитики заданий вашему верному помощнику – AI-ассистенту! За счет встроенных в платформу AI-расширений и AI-ассистента разработчика GigaCode вы можете за пару минут провести аналитику кода и значительно облегчить процесс проверки работ. Переходите на GitVerse и пробуйте новый инструмент!

🚩 Новые задания на платформе Codeby Games! 🔑 Категория Криптография — Гирлянда 🕵️ Категория Форензика — Дед Мороз забыл пароль 🔎 Категория OSINT — Спасибо, Князь Приятного хакинга!

5 Онлайн-Инструментов для тестирования на проникновение Точные и надежные инструменты — залог качественного тестирования на проникновение. А вот 5 новых инструментов, которые могут вам пригодиться 1️⃣ BuiltWith BuiltWith — ваш шпион в мире технологий. Он раскрывает, какие плагины, фреймворки и библиотеки использует цель, предоставляя информацию в реальном времени через API. Это как заглянуть под капот сайта и увидеть, на чем он ездит. ✅ Быстро и удобно предоставляет информацию о технологиях сайта. ❌ Может не охватить все использованные технологии на сложных проектах. 2️⃣ Dnsdumpster Dnsdumpster — бесплатный исследователь доменов, способный обнаружить поддомены вашей цели. Он собирает данные из различных источников, таких как Shodan и Maxmind, помогая вам составить карту поддоменов. ✅ Бесплатен и дает подробную карту доменов. ❌ Результаты могут быть устаревшими из-за использования открытых данных. 3️⃣ nmmapper nmmapper — швейцарский нож для пентестера. Он использует инструменты вроде Sublister и Amass для поиска поддоменов, а также предлагает функции ping-теста, просмотра DNS и детектора WAF. ✅ Универсальный инструмент с широким набором функций. ❌ Интерфейс может быть сложен для новичков. 4️⃣ EmailCrawlr EmailCrawlr — предоставляет список адресов электронной почты в формате JSON, облегчая задачу по сбору контактных данных. ✅ Удобный формат вывода данных (JSON). ❌ Требует дополнительных инструментов для обработки данных. 5️⃣ Skrapp Skrapp — хотя и ориентирован на маркетинг, способен находить адреса электронной почты через функцию поиска домена. Функция bulk email finder позволяет получить доступ к CSV-файлу с именами сотрудников компании. ✅ Позволяет массово искать адреса и выгружать их в удобном формате. ❌ Акцент на маркетинг, что может снижать релевантность для пентестинга.

💬 Вы бы продали свои данные за деньги? Исследователи в сфере безопасности обнаружили крупную операцию на даркнете, связанную с фермами биометрических данных. Анонимная группировка собрала огромное количество подлинных документов и соответствующих фотографий лиц, чтобы обмануть системы верификации "Знай своего клиента" (KYC). 🔗 Особенность схемы Согласно данным iProov, злоумышленники могут получать эти данные не только через кражу, но и добровольно – пользователи сами продают свои документы и фото за деньги. По словам главного научного сотрудника iProov Эндрю Ньюэлла:

«Люди, продающие свои биометрические данные, рискуют не только финансовой безопасностью, но и помогают преступникам создать полноценные идентификационные пакеты для сложных мошеннических схем»

🌐 Операция была выявлена в Латинской Америке, где уже оповещена местная полиция. Похожие схемы также замечены в Восточной Европе. Интересные факты: 🟢 ICO запретила использование распознавания лиц компанией Serco Leisure для учета сотрудников. 🟢 AI-генерируемые глубокие фейки стали частью 24% попыток обмана систем биометрической проверки движений. При этом менее сложные механизмы, вроде селфи-аутентификации, чаще поддаются обычным подделкам. #новости

Баннер на рождество от ASUS. Компания решила поздравить пользователей с рождеством появляющимся на 1/3 экрана баннером с рождественским венком. Кроме этого в нём присутствует сообщение: «Нажмите ESC, чтобы выйти» и кнопка пробела. В некоторых случаях он приводит к сбою в работе приложений. 🎄 Баннер запускается с помощью процесса с названием «Christmas.exe» и является частью программного обеспечения Asus Armoury Crate (оно предустановлено на некоторых компьютерах ASUS), а не вредоносной программой, как думают некоторые пользователи. 🎁 Примечательным является то, что компания не предупредила пользователей и никак не объяснила, что происходит, тем самым удивив всех. 🎄 Баннер исчезает сам по себе и не отображается в диспетчере задач, если не держать его открытым. Приложение Christmas.exe в Windows 11 размещено на системном диске по пути

"C:\ProgramData\ASUS\FestsEffect\data\Christmas\christmas.exe"

✏️ Для отключения Christmas.exe можно использовать официальный деинсталлятор ASUS Armoury с веб-сайта компании, но приложение снова будет пытаться себя установить. Чтобы заблокировать Armoury Crate на материнской плате ASUS, необходимо открыть BIOS, переключиться в Advanced Mode, найти меню Tool —> ASUS Armoury Crate и поменять опцию "Download & Install ARMOURY CRATE app" на Disabled. Также можно подождать пока пройдут праздники, так как после этого баннер сам исчезнет :D

До Нового Года остались считанные дни... А у вас ещё есть время поучаствовать в CTF от S.E. & Codeby и выиграть призы! 🎁 В новом задании отправляемся на поиски штаб-домена Санты! 📌 Решить задание и участвовать в розыгрыше: @codeby_se_bot

✏️ Персональные данные — это информация, которая прямо или косвенно позволяет идентифицировать физическое лицо. С развитием технологий и увеличением объема обрабатываемых данных, вопросы их защиты становятся особенно актуальными. ✏️ Информационная система персональных данных — это совокупность данных и технологий, обеспечивающих обработку ПДн. Однако важно не только собирать и хранить такие данные, но и защищать их от утечек и злоупотреблений. Какие органы регулируют защиту ПДн в России? 🔸 ФСБ — отвечает за защиту ПДн в контексте национальной безопасности. 🔸 ФСТЭК — устанавливает технические стандарты для защиты данных, включая те, которые могут быть государственной тайной. 🔸 Роскомнадзор — следит за соблюдением законов о персональных данных и принимает меры по защите прав граждан. 🔸 Минцифры — разрабатывает нормативные акты и стандарты для цифровых технологий. Ключевые нормативные акты: 🔸 Закон о персональных данных (152-ФЗ) — регулирует обработку и защиту данных. 🔸 Приказ №21 ФСТЭК — устанавливает требования по безопасности ПДн при их обработке в информационных системах. 🔸 Постановление №1119 — вводит классификацию угроз и требования к защите данных. Почему важно защищать ПДн? Необработанные данные, особенно чувствительные (например, медицинские или биометрические), могут стать объектом кражи, манипуляции или даже шантажа. Поэтому защита данных — это не только соблюдение законодательства, но и важная составляющая безопасности. 🔗 Читать полный материал

Common Vulnerability Scoring System (CVSS) — открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления. CVSS включает три группы метрик: базовые (Base), временные (Temporal) и контекстные (Environmental). Обычно используются базовые метрики, так как они описывают основные характеристики уязвимости. Базовые метрики оценивают основные характеристики уязвимости: 1⃣ Access Vector (AV) — положение атакующего • Local (L) (0,395): требуется физический доступ или локальная учетная запись. • Adjacent (A) (0,646): доступ через локальную сеть или домен коллизий. • Network (N) (1): доступ через сеть. 2⃣ Access Complexity (AC) — сложность атаки • High (H) (0,35): сложные условия (гонка, соц. инженерия). • Medium (M) (0,61): доп. требования (специальная конфигурация). • Low (L) (0,71): минимальные требования. 3⃣ Authentication (Au) — число аутентификаций • Multiple (M) (0,45): дважды или более. • Single (S) (0,56): один раз. • None (N) (0,704): не требуется. 4⃣ Confidentiality (C) — влияние на конфиденциальность • None (N) (0): нет влияния. • Partial (P) (0,275): частичное раскрытие данных. • Complete (C) (0,660): полное раскрытие. 5⃣ Integrity (I) — влияние на целостность • None (N) (0): нет влияния. • Partial (P) (0,275): ограниченные изменения данных. • Complete (C) (0,660): полное изменение данных. 6⃣ Availability (A) — влияние на доступность • None (N) (0): нет влияния. • Partial (P) (0,275): частичная деградация. • Complete (C) (0,660): полная недоступность ресурса. Пример расчета BaseScore Оценка BaseScore рассчитывается по следующим формулам. Значения для параметров выбираются из таблицы, приведенной выше. Дробные результирующие числа следует округлять до первого десятичного разряда, что ниже выражается через функцию roundTo1Decimal. Подробнее о формулах можно почитать ЗДЕСЬ

Exploitability = 20 × AccessVector × AccessComplexity × Authentication
Impact = 10,41 × ( 1 − ( 1 − C ) × ( 1 − I ) × ( 1 − A ) )
BaseScore = roundTo1Decimal ( ( ( 0 , 6 × Impact ) + ( 0 , 4 × Exploitability ) − 1 , 5 ) × f( Impact ) )

Они оставили след... Как найти его с помощью VSSAdmin Кибератаки становятся всё сложнее, а злоумышленники всё чаще используют встроенные инструменты Windows. Разберём, как через VSSAdmin и командную строку они получают доступ к данным и обходят защиту системы. ‼️Цепочка подозрительных действий‼️ Атака начинается с команды, запускающей процессы для создания теневых копий и доступа к защищённым данным. Рассмотрим последовательность шагов: Создание процессов через командную строку 1️⃣Злоумышленник инициирует процесс через cmd.exe, который выполняет команды для работы с теневыми копиями (Shadow Copies).

shell C:\windows\system32\cmd.exe /Q /c echo c:\windows\system32\cmd.exe /C vssadmin create shadow /For=C: *> SYSTEMROOT:\Temp\output > TEMPS\execute.bat

Основной инструмент здесь — vssadmin. Он используется для управления теневыми копиями, включая их создание, удаление и просмотр. 2️⃣Доступ к критически важным файлам После создания теневой копии злоумышленник получает доступ к ключевым системным файлам, таким как: - NTDS.dit — база данных Active Directory, содержащая учётные записи пользователей. - SAM (Security Account Manager) — файл, содержащий хэши паролей пользователей. Для копирования файлов используется команда copy с доступом к теневым копиям через пути, подобные \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy. 3️⃣Автоматизация удаления следов После выполнения команды создаётся временный файл execute.bat, в котором хранятся действия злоумышленника. Для удаления следов после выполнения задачи файл автоматически стирается командой: 👀Ключевые индикаторы компрометации (IoC)👀 1️⃣Запись в журнал событий В системных журналах Windows можно найти записи о запуске процессов (Event ID 4688). Например, создание процесса с командой:

C:\windows\system32\cmd.exe /C vssadmin list shadows

Эти события указывают на использование vssadmin и вызывают подозрения, особенно если команда выполняется вне запланированных системных задач. 2️⃣Удалённый доступ Злоумышленник может использовать такие утилиты, как secretsdump.py или mmcexec, для извлечения хэшей паролей с удалённых машин. Это сопровождается событиями: - 4624 — удалённый вход. - 5145 — проверка прав доступа к удалённым сервисам, включая winreg. 3️⃣Удаление теневых копий После завершения атаки часто наблюдаются команды для удаления всех созданных копий:

vssadmin delete shadows /For=C: /Quiet

Используемые инструменты 1. VSSAdmin — утилита для работы с теневыми копиями, нередко используемая злоумышленниками. 2. secretsdump.py — инструмент Impacket для извлечения хэшей паролей и данных. 3. mmcexec — утилита для выполнения удалённых команд через Management Console.

⬇️ Что такое SOP и как она работает?

Веб-приложения и данные пользователей постоянно подвергаются угрозам. Сегодня расскажем про один из фундаментальных механизмов защиты — Same-Origin Policy.

Если вы работаете с вебом, знаете про CSRF, или просто хотите лучше понимать, как браузеры защищают наши данные, то новая статья для вас! Что такое SOP? Это "политика одинакового источника", которая определяет, может ли ресурс (например, скрипт или страница) взаимодействовать с другим ресурсом из другого источника. Источник (origin) — это комбинация: 🤩 Схема (protocol): HTTP или HTTPS 🤩 Хост (host): доменное имя, например, example.com 🤩 Порт (port): стандартные — 80 для HTTP и 443 для HTTPS Политика SOP блокирует попытки взаимодействия между разными источниками, если они не полностью совпадают по всем этим параметрам. Как это защищает данные? Представьте, что ваш браузер авторизован в интернет-банке (bank.com), а злоумышленник хочет украсть ваши сессионные cookie с помощью поддельного сайта (hacker.com). Без SOP ваш браузер мог бы отправить данные сессии злоумышленнику. SOP предотвращает это, блокируя запросы с hacker.com к bank.com. ➡️ Читать статью полностью

Исследователи Reversing Labs сообщают, что вредоносные расширения на маркетплейсе VSCode впервые появились в октябре. Кампания включает в себя 18 вредоносных расширений, ориентированных в первую очередь на инвесторов в криптовалюту и разработчиков. 💱 Для повышения легитимности и доверия к расширениям злоумышленники добавляют фальшивые отзывы и завышают количество установок. 🚨 Список вредоносных расширений: ⏺️EVM.Blockchain-Toolkit ⏺️VoiceMod.VoiceMod ⏺️ZoomVideoCommunications.Zoom ⏺️ZoomINC.Zoom-Workplace ⏺️Ethereum.SoliditySupport ⏺️ZoomWorkspace.Zoom (three versions) ⏺️ethereumorg.Solidity-Language-for-Ethereum ⏺️VitalikButerin.Solidity-Ethereum (two versions) ⏺️SolidityFoundation.Solidity-Ethereum ⏺️EthereumFoundation.Solidity-Language-for-Ethereum (two versions) ⏺️SOLIDITY.Solidity-Language ⏺️GavinWood.SolidityLang (two versions) ⏺️EthereumFoundation.Solidity-for-Ethereum-Language ✏️ Исследователи сообщают, что все расширения имеют одинаковую вредоносную функцию и дополнительные файлы, поставляемые с ними представляют из себя обфусцированные скрипты .bat или .cmd, которые скрытно запускают Powershell. Скрипт же, в свою очередь, расшифрует строки, зашифрованные с помощью AES, чтобы внедрить дополнительные вредоносные программы в скомпрометированную систему и запустить их. При этом происходит взаимодействие со следующими доменами: microsoft-visualstudiocode[.]com и captchacdn[.]com.

Кодебай, напоминаем о нашем чате! 😎 🔸 Обсуждение новостей из мира ИБ, обмен опытом 🔸 Ответы на вопросы от единомышленников 🔸 Живые дискуссии и полезные материалы Присоединяйтесь и станьте частью активного инфобез-сообщества! ➡️ https://t.me/codeby_one Ждём всех! 🚩

🤩 Исследователи из Check Point раскрыли новый метод обхода защитных систем, используемый киберпреступниками. Злоумышленники активно эксплуатируют Google Calendar и Google Drawings, чтобы отправлять фальшивые приглашения с вредоносными ссылками. Как работает атака? 🤩 Мошенники используют .ics-файлы, которые выглядят как легитимные приглашения от Google Calendar. 🤩 Они модифицируют заголовки отправителя, делая письма похожими на те, что отправлены от имени знакомого человека. 🤩 В приглашениях содержатся ссылки на поддельные Google Forms или Google Drawings. После перехода по ссылке жертва попадает на фальшивую страницу, например, с поддельной поддержкой криптовалют или фейковым reCAPTCHA. Пользователей просят пройти "аутентификацию", ввести личные данные или реквизиты оплаты. 💳 Собранные данные используются для кредитного мошенничества, несанкционированных транзакций и взлома других аккаунтов жертвы .

Google рекомендует включить настройку "Только от известных отправителей" в Google Calendar. Она предупреждает пользователей о подозрительных приглашениях.

Дополнительные меры: 🤩 Используйте современные платформы email-безопасности для фильтрации фишинга. 🤩 Внедряйте MFA (многофакторную аутентификацию). 🤩 Мониторьте активность сторонних Google-приложений. 🤩 Настройте инструменты поведенческого анализа для выявления подозрительных попыток входа. #новости