Codeby

☄️ Масштабная атака через Google Play: 60+ млн загрузок вредоносных приложений Исследователи обнаружили 331 поддельное приложение в Google Play, которые под видом полезных программ показывали навязчивую рекламу, блокировали устройства и ворвали данные. Что известно: ✅ Кампания Vapor действует с 2024 года, маскируясь под фитнес-приложения и утилиты ✅ 60+ миллионов загрузок — злоумышленники зарабатывали на агрессивной рекламе ✅ Вредоносный код добавляли через обновления, обходя проверки Google ✅ Некоторые приложения крали данные карт через фишинговые страницы Советы для пользователей: ▪️ Проверяйте отзывы и рейтинги перед установкой ▪️ Отключайте автозапуск рекламы в настройках ▪️ Удалите подозрительные приложения Google уже удалил зараженные программы, но угроза может вернуться в новых оболочках. 📍 Подробности атаки в новой статье

Вы получили письмо от банка с просьбой срочно подтвердить данные? Или сообщение от друга с подозрительной ссылкой? Это может быть фишинг — опасная схема мошенничества, на которую ежедневно попадают тысячи людей. В новой статье — всё, что нужно знать о фишинге в 2025 году: ✅ Что такое фишинг простыми словами — как работают схемы обмана ✅ 7 главных видов фишинга (почтовый, звонки, соцсети, смс и другие) + реальные примеры ✅ Как распознать подделку — 10 явных признаков мошенничества ✅ Чем опасен фишинг для бизнеса — утечки данных, миллионные убытки и репутационные риски ✅ Что делать, если вас взломали — пошаговый план действий ✅ Как защититься — проверенные методы и инструменты Важно: Фишинговые атаки становятся всё изощрённее — мошенники используют нейросети, поддельные сайты-двойники и даже звонки с "робоголосами". 🔴 Читать полное руководство

Разгадай загадку безопасности с Bully

🫠 Bully — это специализированный инструмент для атаки на WPS PIN, который ориентирован на устранение проблем совместимости с маршрутизаторами и повышения надежности проверки. Давайте исследуем его возможности шаг за шагом, как кусочки головоломки.

😈 Первый шаг: Разведка Прежде чем начать атаку, важно понять, с чем мы работаем. Для этого можно использовать утилиту iwconfig для идентификации доступных интерфейсов. Выполните команду:

iwconfig

Это позволит вам узнать, какой интерфейс будет использоваться для атаки (например, wlan0). 😈 Второй шаг: Выбор цели Далее с помощью утилиты airodump-ng определяем, какие сети поддерживают WPS:

airodump-ng wlan0

Обратите внимание на столбец WPS. Это наши цели. Запишите BSSID и канал (CH) интересующей сети. 😈 Третий шаг: Настройка Bully Теперь мы готовы запустить Bully. Для атаки на конкретный BSSID используется следующая команда:

bully -b <BSSID> -c <канал> -v wlan0

🔥 Пример:

bully -b 11:22:33:44:55:66 -c 6 -v wlan0

Здесь: - -b — указывает BSSID цели. - -c — канал сети. - -v — включает подробный вывод для мониторинга процесса. Разбираем загадку атаки Bully использует уязвимость WPS PIN, перебирая возможные комбинации PIN-кодов. Он автоматически обрабатывает ошибки, такие как тайм-ауты или повторные запросы, что делает его эффективным инструментом для таких атак.

📣 БЕСПЛАТНЫЙ ВЕБИНАР: "Хакерский планшет — Kali Linux в вашем кармане" Обычный планшет или смартфон можно превратить в мощный инструмент для пентеста! Покажем, как развернуть Kali Linux/Nethunter и использовать его для реальных задач. Ждем вас 14 апреля в 19:00 (МСК) 🔴Зарегистрироваться Что будет на вебинаре? 🔸 Сборка хакерского планшета — выбор железа и прошивки 🔸 Wi-Fi-атаки (Aircrack-ng, Evil Twin) 🔸 Перехват трафика (MITM, Wireshark) 🔸 Скрытность и анонимность (TOR, VPN, анти-обнаружение) 🔸 Разбор реальных кейсов Бонусы для участников: ✅ Запись вебинара ✅ Чек-лист "Must-have инструменты для мобильного пентеста" ✅ Специальный подарок для всех зрителей! Спикер: Андрей Бирюков 🌟 CISSP, 15+ лет в ИБ 🌟 Руководитель защиты АСУ ТП 🌟 Автор 4 книг и 200+ статей по кибербезопасности Не пропустите! 😎 Регистрация здесь. 🚀 Трудности с регистрацией? Пишите @Codeby_Academy

А вы знали что... 🔸85% мобильных приложений содержат критические уязвимости (отчет OWASP 2024) 🔸Каждое 3-е приложение в Google Play имеет уязвимости, связанные с хранением данных (исследование Positive Technologies). 🔸Хакерские атаки на Android выросли на 50% за последние 2 года (данные Kaspersky Lab). Знание этих рисков – первый шаг к безопасности. Второй – освоить инструменты, которые помогут их устранить. Стартуем 21 апреля! 👩‍💻 🔴Записаться Рассмотрим устройство приложений под ОС Android, этапы создания мобильного приложения, приемы реверса и изменения кода. Подробно изучим поиск и эксплуатацию уязвимостей. Курс создан для: 🌟 Сотрудников подразделений ИБ для повышения квалификации, новичков в сфере анализа мобильных приложений, реверс-инженеров для повышения квалификации в области мобильных приложений 🚀 По всем вопросам пишите @Codeby_Academy

💻💻💻 HackBrowserData — инструмент командной строки, написанный на Go, для расшифровки и экспорта паролей, истории, cookie, закладок, кредитных карт, истории загрузок, localStorage и расширений из браузера. Поддерживает самые популярные браузеры на рынке и работает на Windows, macOS и Linux. 😡 Поддерживаемые браузеры ⏺️ Windows: Google Chrome, Google Chrome Beta, Chromium, Microsoft Edge, 360 Speed, QQ, Brave, Opera, OperaGX, Vivaldi, Yandex, CocCoc, Firefox, Firefox Beta, Firefox Dev, Firefox ESR, Firefox Nightly; ⏺️ Linux: Google Chrome, Google Chrome Beta, Chromium, Microsoft Edge Dev, Brave, Opera, Vivaldi, Firefox, Firefox Beta, Firefox Dev, Firefox ESR, Firefox Nightly; ⏺️ MacOS: Google Chrome, Google Chrome Beta, Chromium, Microsoft Edge, Brave, Opera, OperaGX, Vivaldi, CocCoc, Yandex, Arc, Firefox, Firefox Beta, Firefox Dev, Firefox ESR, Firefox Nightly. 💻 Установка Из исходного кода:

git clone https://github.com/moonD4rk/HackBrowserData
cd HackBrowserData/cmd/hack-browser-data
go build

Готовые исполняемые файлы. 🔒 Использование Автоматическое сканирование браузера на текущем компьютере с выводом результатов расшифровки в формате JSON и сжатием в zip:

.\hack-browser-data.exe -b all -f json --dir results --zip

Для экспорта данных из пользовательской папки профиля браузера, используется параметр -p. Для указания пути к папке профиля браузера (используйте двойные кавычки для указания пути):

.\hack-browser-data.exe -b chrome -p "C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default"

✏️ В некоторых ситуациях Windows Defender или другое антивирусное программное обеспечение может рассматривать этот инструмент как вирус и не позволять его запускать.

Как мы отбивались от DDoS-атак и другой хакерской нечисти

Когда мой товарищ запустил блог на WordPress и форум на XenForo, он даже не подозревал, сколько "внимания" привлекут его ресурсы. Конкуренты и просто злоумышленники начали атаковать сайт: SQL-инъекции, брутфорс, DDoS — всё по полной программе.

В этой заметке — практические шаги, которые помогли нам отбиться от атак: 🔸 Жесткая настройка WordPress (отключение лишних функций, блокировка wp-login.php) 🔸 Фильтрация трафика через Cloudflare (правила для защиты от ботов и сканеров) 🔸 Блокировка прямых IP-подключений (чтобы не завалили сервер запросами) 🔸 Быстрое обнаружение и блокировка злоумышленников (UFW + анализ логов) А ещё — личный опыт с разными CDN (включая StormWall) и советы, как не дать хакерам ни единого шанса. 🔴 Читать полную версию

Есть повод встретиться и обсудить кибербезопасность ☄️ Собираемся 29 апреля в 19:00 на Avito Security meetup! Место встречи: офис Авито (но можно и подключиться онлайн). Со своими докладами выступят сотрудники команд кибербезопасности, Application Security, LLM-core и SOC в Авито: ➡️Что делать с сотнями задач на исправление одинаковых уязвимостей; ➡️Как снять часть рутинной нагрузки при помощи LLM; ➡️Почему корпоративный WiFi – это большая брешь в защите, и как строить аутентификацию по сертификатам. Кажется, ничего не забыли… Кроме ссылки на регистрацию.

dnsx - быстрый и универсальный набор инструментов DNS, предназначенный для запуска различных проверок с помощью библиотеки retryabledns. Он поддерживает запросы A, AAAA, CNAME, PTR, NS, MX, TXT, SRV, SOA, пользовательские резолверы, фильтрацию DNS по шаблонам, например shuffledns, и т. д. Для успешной установки требуется go1.21. Для установки последней версии выполните следующую команду: go install -v github.com/projectdiscovery/dnsx/cmd/dnsx@latest ☄️ Примеры использования: Вывод А записей для заданного списка поддоменов:

subfinder -silent -d hackerone.com | dnsx -silent -a -resp

Проверка с помощью кода состояния DNS для заданного списка доменов:

subfinder -silent -d hackerone.com | dnsx -silent -rcode noerror,servfail,refused

Извлечение поддоменов из заданного сетевого диапазона с помощью PTR запроса:

echo 173.0.84.0/24 | dnsx -silent -resp-only -ptr

Перебор по поддоменам с использованием нескольких ключевых слов:

dnsx -silent -d domains.txt -w jira,grafana,jenkins

Перебор доменов со списком подставляемых слов:

dnsx -d google.FUZZ -w tld.txt -resp

Особенностью dnsx является его способность обрабатывать многоуровневые подстановочные знаки на основе DNS. Иногда все поддомены разрешаются в один IP, что приводит к большому количеству мусора в выводе. dnsx обрабатывает это следующим образом: он отслеживает, сколько поддоменов указывают на один IP-адрес, и если количество поддоменов превышает определённый порог, он итеративно проверяет подстановочные знаки на всех уровнях хостов для этого IP-адреса.

Аналитики Silent Push обнаружили новую фишинговую кампанию, использующую атаку Browser-in-the-Browser и нацеленную на игроков в Counter-Strike 2. Эти атаки включают в себя поддельные, но реалистично выглядящие всплывающие окна браузера, которые служат убедительной приманкой, чтобы заставить жертв войти в систему. 🎯 Цель кампании — заставить пользователя чувствовать себя в безопасности, полагая, что всплывающие окна являются частью реальных сайтов. Как только потенциальная жертва пытается войти на поддельный портал Steam (который открывается в "новом браузере"), злоумышленник крадет учетные данные и, вероятно, пытается завладеть учетной записью для последующей перепродажи. Наряду с попытками скомпрометировать учётные записи игроков в Steam, часть тактики кампании также включает использование названий профессиональной киберспортивной команды Navi для повышения доверия пользователей. 🚨 В ходе атаки на видном месте фишингового сайта отображается URL-адрес реального ресурса (в данном случае Steam), что заставляет пользователя поверить, что это настоящее всплывающее окно для входа в систему. Злоумышленник, стоящий за этим, также пытается распространить свою фишинговую схему на YouTube. 💡 Данный тип атак был изучен изучен исследователями и некоторые из них даже опубликовали пример с открытым исходным кодом. Атаки BitB наиболее убедительны для пользователей настольных компьютеров, так как всплывающие окна рассчитаны на просмотр в более высоком разрешении. ❗️Рекомендации: ⏺️Специалисты рекомендуют пользователям обращать внимание на поддельные URL-адреса во всплывающих окнах для входа в систему; ⏺️Если вы видите URL-адрес, всегда старайтесь перетащить это окно за пределы браузера, в котором находитесь. Это лучший способ легко убедиться, что всплывающее окно настоящее и, следовательно, URL-адрес в строке будет корректно отображать URL-адрес всплывающего окна.

🚩 HackerLab — 1 место в квалификации Standoff 15! По итогам квалификационного этапа крупнейших киберучений Standoff 15, команда Hackerlab заняла первое место! За этим результатом — мощная связка: практикующие пентестеры компании Кодебай и разработчики заданий HackerLab. Для команды это был дебют, и мы гордимся тем, что смогли сразу продемонстрировать высокий результат на уровне сильнейших участников. ➡️ Scoreboard Впереди — финал Standoff 15. Не расслабляемся и двигаемся дальше!

interactsh Инструмент с открытым исходным кодом предназначенный для обнаружения Out-of-Band уязвимостей. Interactsh генерирует динамические URL-адреса, которые при запросе целевой системой инициируют обратный вызов на сервер. Эти вызовы можно отслеживать и анализировать для выявления потенциальных проблем безопасности. 👀 Компоненты: 🌟interactsh-client — генерирует уникальные URL-адреса и выполняет опрос для получения данных о взаимодействиях. Установка: go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-client@latest 🌟interactsh-server — сервер, который фиксирует обратные вызовы от сгенерированных URL-адресов. Публичные серверы доступны по умолчанию (oast.pro и др.), но для стабильной работы рекомендуется использовать собственный сервер. Установка: go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-server@latest 🌟Interactsh-web — бесплатный веб-клиент с открытым исходным кодом, который отображает взаимодействия на удобной панели управления в браузере. Он использует локальное хранилище браузера для хранения и отображения всех входящих взаимодействий. 💥 Характеристики: ⏺️Обеспечивает взаимодействие с DNS/HTTP(S)/SMTP(S)/LDAP и др. протоколами; ⏺️Отображает взаимодействия с полезными нагрузками в реальном времени; ⏺️Интегрируется с OWASP ZAP, Burp; ⏺️Поддерживает фильтрацию, сопоставление и настройку вывода данных. Примеры использования: 1️⃣ Базовый запуск: interactsh-client. Генерирует один URL и начинает опрос взаимодействий с интервалом 5 секунд. 2️⃣ Использование защищенного автономного сервера: interactsh-client -server hackwithautomation.com -token XXX. 3️⃣ С помощью флага -sf можно сохранять/считывать информацию о текущем сеансе из пользовательского файла, что полезно для возобновления того же сеанса для опроса взаимодействий даже после остановки или закрытия клиента: interactsh-client -sf interact.session. Для работы требуется получить бесплатный API ключ, зарегистрировавшись на https://cloud.projectdiscovery.io. После этого передаем API ключ в интерактивном режиме: interactsh-client -auth.

🌩 Как хакеры взламывают облака: от открытых S3 до взломанных Kubernetes Облачные сервисы — удобно, но опасно. Каждый день хакеры находят открытые базы данных, крадут ключи API и получают полный контроль над Kubernetes. Подробнее в карточках.

🚩 Новые задания на платформе HackerLab! 🔑 Категория Криптография — Напиши мне 🔎 Категория OSINT — Это легально? Приятного хакинга!

Скрытые профили, поддомены, старые коммиты — как найти то, что спрятано? В новой статье из цикла "ШХ" разбираем три мощных инструмента для сбора информации: 1⃣ Amass — ищем поддомены и точки входа (пассивно/активно). 2⃣ youtube-handles-fuzz — проверяем YouTube-каналы по имени. 3⃣ OSGINT — вытягиваем данные GitHub-профилей (репы, PGP, почты). Зачем это нужно? 🔸Анализ инфраструктуры сайта. 🔸Поиск целевых аккаунтов. 🔸Проверка цифрового следа. ✅Все методы — на основе открытых данных. 🔴 Читайте статью и пробуйте инструменты 🔴 Прокачайте скиллы по OSINT. Подробности здесь

Друзья, напоминаем, на каких курсах начинается обучение в апреле ⤵️ Запись до конца дня: 🌟 Курс «Python для Пентестера» — освоим парсинг, фаззинг, аргументы командной строки и другие инструменты. 🌟 Курс «Профессия пентестер» — изучаем инструменты: сканеры, Bash-скрипты, пентест AD. Запись до 13 апреля: 🌟Курс «Тестирование Веб-приложений на проникновение» — изучаем пассивный и активный фаззинг, фингерпринт, уязвимости, пост-эксплуатацию и другие техники. Старт 7 апреля: 🌟Курс «Основы программирования на Python» — овладеем самым популярным ЯП за 2 месяца. Старт 14 апреля: 🌟Курс «Django - разработка веб-приложений» — разработаем с нуля сайты на Django, сверстаем интерфейсы, и создадим интеграцию с бэкендом приложения. Старт 17 апреля: 🌟Курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» — рассмотрим тему администрирования средств защиты информации. Старт 21 апреля: 🌟Курс «Устройства для тестирования на проникновение» — изучим различные типы микроконтроллеров и микрокомпьютеров. 🌟Курс «Анализ защищенности приложений Андроид» — изучим этапы создания мобильного приложения, приемы реверса и изменения кода и рассмотрим возможные уязвимости. 🌟Курс «Git. Система контроля версий» — освоим продвинутую работу с системой контроля версий Git. 🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

📎 httpx — быстрый и универсальный набор инструментов для работы с HTTP, созданный для поддержки запуска разных запросов с использованием общедоступной библиотеки. Запросы — это специальные тесты или проверки для сбора информации о веб-серверах, URL-адресах или других элементах HTTP. Используется для эффективного выявления и анализа конфигураций веб-серверов, проверки HTTP-ответов и диагностики потенциальных уязвимостей или неправильных настроек. 💻 Для успешной установки требуется go1.21. Установка: go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest. Другой вариант:

git clone https://github.com/projectdiscovery/httpx.git; \
cd httpx/cmd/httpx; \
go build; \
mv httpx /usr/local/bin/; \
httpx -version;

💱 Примеры использования: Перебор путей по нескольким URL-адресам, выявляя коды ответов и потенциально уязвимые или незащищённые конечные точки в веб-приложениях:

httpx -l urls.txt -path /v1/api -sc

Запуск httpx с флагом -probe для всех доменов в файле hosts.txt, чтобы получить URL-адреса с проверенным статусом:

httpx -list hosts.txt -silent -probe

Можно использовать httpx в сочетании с другими инструментами, такими как subfinder для определения активных веб-серверов, их технологий в различных поддоменах:

subfinder -d hackerone.com -silent| httpx -title -tech-detect -status-code

По умолчанию httpx использует схему HTTPS и переходит на HTTP только в том случае, если HTTPS недоступен. Флаг -no-fallback можно использовать для проверки и отображения результатов как HTTP, так и HTTPS. В параметрах можно передавать хосты, URL-адреса и CIDR.

▶️ Друзья, уже через час стартует бесплатный вебинар по пентесту веба, где мы разберем: 🔸 Поиск уязвимостей через фаззинг 🔸 Реальные SQL- и командные инъекции (с выводом RCE) 🔸 Эскалация привилегий после взлома 🔸 Разбор похожих задач из курсов WAPT и SQLiM Вы еще успеваете присоединиться! Через час — взломаем веб как профессионалы. 🔴 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме. 🚀 По всем вопросам пишите @Codeby_Academy

«СёрчИнформ» приглашает ИБ-руководителей на закрытую межотраслевую конференцию. 24 апреля в Москве более 300 директоров по безопасности крупнейших финансовых, промышленных, нефтегазовых компаний, организаций из ритейла, строительной и транспортной отрасли соберутся на конференции «Про ИБ без воды: Практика. Тренды. Решения». 👉 В программе мероприятия 10 часов обмена опытом с профессионалами по информационной безопасности! Нетворкинг за ужином и тет-а-тет с регуляторами прилагаются. Участие бесплатное, но по приглашению! Посмотреть программу, выбрать отрасль и отправить заявку на участие можно по ссылке.

🔗 URLFinder — высокоскоростной инструмент для пассивного сбора URL-адресов, оптимизированный для эффективного поиска веб-ресурсов без активного сканирования. Имеет тщательно подобранные пассивные источники для максимально полного обнаружения URL-адресов, поддерживает несколько выходных форматов (JSON, file, стандартный вывод), поддержка STDIN/ OUT для легкой интеграции в существующие рабочие процессы. 💻 Установка возможна одной командой go install -v github.com/projectdiscovery/urlfinder/cmd/urlfinder@latest 🖥 Примеры использования: 🌟 Базовое использование для перечисления URL-адреса целевого домена codeby.net:

urlfinder -d codeby.net

🌟 Включать URL-адреса, соответствующие определенным шаблонам:

urlfinder -d codeby.net -m threads,hack

🌟 Исключать URL-адреса, соответствующие определенным шаблонам:

urlfinder -d codeby.net -f nothack

Список шаблонов для сопоставления можно передавать через файлы. Также можно ограничивать скорость максимального количества HTTP-запросов в секунду, указывать только конкретные источники для поиска или наоборот исключать их и задавать конкретные URL-адреса для более точного поиска.