Codeby

🔄 ♥️ bettercap v2.40.0 Мощная, легко расширяемая платформа, написанная на 💻 Go, которая призвана предложить исследователям, пентестерам и реверс-инженерам простое в использовании решение "все в одном", для проведения разведки и атак на сети 👴 Wi-Fi, Bluetooth, беспроводные HID устройства и сети 🚠 Ethernet. Установка в 💻 Kali:

sudo apt update && sudo apt install bettercap

Установка via 🖥 Docker:

docker pull bettercap/dev
docker run -it --privileged --net=host bettercap/dev -h

Запуск Web UI и интерактивной сессии:

sudo bettercap -caplet http-ui

sudo bettercap

Стандартные данные для входа:

Логин: user Пароль: pass

Возможности:

Сканирование WiFi сетей, деаутентификация клиентов Авто захват рукопожатий Bluetooth сканирование ARP, DNS, NDP and DHCPv6 спуферы для MitM атак Мощный сетевой сниффер Быстрый сканер портов Удобный веб интерфейс И многое другое

Говорим о киберугрозах завтрашнего дня на ICEBREAKER 2024 Компания NGENIX продолжает регистрацию на IV ежегодную онлайн-конференцию о веб-безопасности. Дата проведения — 4 декабря в 11:00. Участие бесплатное. Зрителей ждут тематические секции с докладами, презентациями и воркшопами. Выступления коснутся самых актуальных вопросов защиты сайтов и приложений. ➡️ Развитие российских продуктов ИБ и импортозамещение. ➡️ Противодействие актуальным угрозам, включая бот-атаки и атаки на API. ➡️ Лучшие практики использования WAF. ➡️ Средства аналитики для принятия решений при атаках и не только. ➡️ Инструменты обеспечения доступности веб-ресурсов. ➡️ Дефицит кадров в сфере ИБ.Будьте на шаг впереди злоумышленников! Добро пожаловать на борт ICEBREAKER 2024 - https://clck.ru/3EZGWP

Telegram продолжает набирать популярность среди злоумышленников, использующих его для распространения вредоносных программ, таких как Lumma Stealer. Lumma Stealer способен украсть огромное количество личной информации: логины, пароли, данные банковских карт, истории браузеров и многое другое. ⚙️ Как работает атака? Lumma Stealer распространяется через Telegram-каналы, которые предлагают "крякнутые" программы или архивы с якобы безвредным ПО. Один из таких каналов, VIP HitMaster Program, насчитывает более 42,000 подписчиков, а второй, MegaProgram +, имеет 8660 подписчиков. Интересно, что оба канала часто пересылают друг другу сообщения, что делает их влияние ещё более широким. В одном из разобранных случаев, злоумышленники замаскировали вредоносный файл под популярную программу CCleaner 2024 — средство для очистки системы и оптимизации производительности. Но после извлечения из архива (.rar) пользователи обнаруживали, что вместо ожидаемого установочного файла CCleaner, они получали два заражённых файла, одним из которых был Lumma Stealer. В частности, файл с названием XTb9DOBjB3.exe является вредоносным и используется для кражи конфиденциальной информации. ⚙️ Механизмы скрытности и обфускации Файл был не просто вредоносным, но и тщательно замаскированным. Например, он скрывал код, который подключался к аккаунту на Steam, чтобы установить связь с командным сервером злоумышленника. Странным образом, имя пользователя было зашифровано и подключено к нескольким псевдонимам. После дешифровки этого имени, вредоносное ПО связывалось с сервером командования и управления (C2), что позволяло атакующим не только красть данные, но и скачивать дополнительные вредоносные файлы. Все эти действия затрудняют обнаружение вредоносного ПО антивирусами и системами защиты. 💱 География атак Больше всего атак в настоящее время подвергаются пользователи Telegram из Индии, за ними следуют пользователи из США и Европы. Это подтверждает, что злоумышленники стремятся охватить как можно более широкую аудиторию, используя Telegram как популярную платформу для доставки угроз. 🚨 Запомните, использование популярных платформ как каналов для распространения вредоносного ПО — это не что-то новое, но Telegram даёт злоумышленникам уникальные возможности для обхода защиты. Поэтому будьте особенно внимательны к тем файлам, которые вы скачиваете и открываете через этот мессенджер. #новости

Необходимо взять под контроль безопасность корпоративной среды со множеством информационных систем, удаленных и офисных сотрудников, ротацией кадров? Обеспечить комфорт пользователей и победить аврал при администрировании ИС?🛡🧘‍♂️ 📆На вебинаре 28 ноября в 11:00 мск расскажем, как закрыть эти проблемы одним решением. Представим систему «Цифровой КУПОЛ», которая позволяет создать единую точку администрирования и контроля доступа для всех ИС организации. Продукт включен в реестр отечественного ПО и соответствует требованиям ФСТЭК России. 📌В программе 1. Задачи ИБ и системного администрирования, которые решает «Цифровой КУПОЛ»: 🔹настройка регламентов доступа, парольных политик; 🔹управление сессиями и контроль доступов; 🔹многофакторная аутентификация; 🔹централизованное управление ролями и правами доступа; 🔹интеграция с LDAP или локальное хранение доступов. 2. Требования и практики безопасной разработки ПО, заложенные в основу создания «Цифрового КУПОЛА». 👉Регистрация.

Дипфейк — это поддельное фото, видео или аудио, сгенерированное искусственным интеллектом для имитации внешности и голоса человека. При создании дипфейков нейросеть анализирует и копирует мимику, движения лица, интонацию и даже фон речи. 👀 В новой статье разбираем как работают дипфейки и как с ними бороться. Основные инструменты создания дипфейков — это генеративно-состязательные сети (GAN), автоэнкодеры, рекуррентные сети (для аудио) и сложные алгоритмы трекинга движений лица.

🗣️ Сейчас дипфейки можно встретить как в развлекательной индустрии, так и в рекламе. Например, дипфейк с Брюсом Уиллисом использовался в рекламе «МегаФона», а в кинематографе они позволяют завершать съёмки с участием актёров, которые покинули проект, как это было с Полом Уокером в «Форсаже 7».

Но в политике и преступной сфере дипфейки представляют угрозу, помогая манипулировать общественным мнением и обманывать людей. Преступники подделывают голоса и образы для вымогательства денег и распространения дезинформации. Чем опасны дипфейки? Дипфейки становятся мощным инструментом в руках мошенников, позволяя обманом получать доступ к деньгам и конфиденциальной информации. Среди опасностей: 🔸Финансовое мошенничество 🔸Обход систем безопасности ➡️ Читать полную версию статьи

Компоненты AD Kerberos, Microsoft SQL Server и центр сертификации — как их взломать? 💬 Научим на курсе “Атака на Active Directory". Авторы: HackerRalf (Михаил Порываев) и BlackRabbit (Павел Никитин), 5-кратные победители the Standoff Содержание курса: 🙂 Архитектура AD и ее базис 🙂 Харденинг в AD, добыча критичной информации, развитие по инфраструктуре 🙂 Как закрепиться внутри? Техники и эксплоиты ➡️ практическая лаборатория AD содержит более 30 виртуальных машин, позволяя участникам отточить свои навыки на практике в 100+ рабочих тасках 🌟 Сертификат / удостоверение о повышении квалификации 🌟 Старт: 16 декабря* *Успейте приобрести курс по старой цене до конца ноября! 🚀 @Codeby_Academy ➡️ Узнать подробнее о курсе ➡️ Читайте отзывы от учеников предыдущих потоков здесь

NetScanner👴 Netscanner — это инструмент сканирования сети с такими функциями, как: Список интерфейсов оборудования, Переключение активного интерфейса для сканирования и дампа пакетов, Сканирование сетей WiFi, Уровень сигнала WiFi (с диаграммами), Pinging CIDR с именем хоста, oui и mac-адресом, Дамп пакетов (TCP, UDP, ICMP, ARP), Дамп пакетов, Запуск/пауза дампа пакетов. Использование netscanner:

-t, --tick-rate: Скорость тика, т.е. количество тиков в секунду (По умолчанию: 1)
-f, --frame-rate: Частота кадров, т.е. количество кадров в секунду (По умолчанию: 10)
-h, --help: Вывод помощи
-v, --version: Вывод версии программы

Запуск:

netscanner

Вы сможете увидеть сигнали WiFi в левом верхнем меню, в правом верхнем доступные интерфейсы, а снизу Пакеты, Порты, Трафик.

Права доступа в Linux💻 В правах доступа для файлов и каталогов приминяется одинаковый принцип. В целях упрощения права доступа разделены на три категории:

r - чтение: 4;
w - запись: 2;
x - исполнение: 1;

Для установки прав доступа используется такой шаблон:

[User:r/w/x] [Group:r/w/x] [All:r/w/x]

Для практики можно создать простой скрипт который выводит надпись "hello world".

#!/bin/bash

echo "Hello world!"

и посмотреть его права командой ls -la | grep 'main.sh' Для примера у нас будет такой вывод:

-rw-r--r--

Мы видим что для пользователя есть права на чтение и запись, для участников нашей группы есть право только читать, и у всех остальных тоже доступ только к чтению. Запустить его мы не сможем, так как у скрипта нет на это прав. Для этого давайте изменим его права специальной командой chmod:

chmod 774 main.sh

Почему 774? Ответ: Мы прибегли с следующей формуле User/Group/All:4+2+1, где 4 - чтение, 2 - запись, 1 - исполнение. 4+2+1=7

Теперь не только мы, но и пользователи нашей группы смогут использовать, читать и редактировать файл. Остальные только читать. Для простоты можно заменить числа на буквы

chmod +x main.sh

также будет работать и позволит скрипту исполниться.

🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома Старт: 2 декабря. Успейте приобрести курс по старой цене до конца ноября!📥 Содержание курса: 🔸 65 рабочих и 16 экзаменационных тасков в лаборатории ✔️ 🔸 эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг 🔸 SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection 🔸 техники повышения привилегий, Client-side атаки (XSS, CSRF) 🔸 трудоустройство / стажировка для лучших выпускников 🥇 Получите практические навыки как в рабочих задачах, так и в Bug Bounty. 📥С декабря стоимость курсов увеличится на 15% 🚀 Пишите нам @Codeby_Academy ➡️ Подробнее о курсе

Исследователь Марко Фигероа поделился своими исследованиями о получении широкого доступа к песочнице ChatGPT. Сама песочница представляет из себя изолированную среду, позволяющую пользователям безопасно взаимодействовать с ней и быть изолированными от других пользователей. ✏️ Используя команду list files /home/sandbox/.openai_internal/ исследователю удалось получить информацию о конфигурации и настройках песочницы. 🏆 Воодушевившись найденными результатами, он получил возможность загружать в папку /mnt/data собственные Python-скрипты и выполнять их! ❗️При этом стоит отметить, что песочница не предоставляет доступ к определённым конфиденциальным папкам и файлам (/root, /etc/shadow и т.д.). 👀 Однако OpenAI в своей bug bounty программе считает, что даже если таким путем можно извлечь файлы конфигурации, это все равно не является основанием для получения вознаграждения. ✔️ Вероятно, решение OpenAI оставить некоторые действия в «песочнице» как выходящие за рамки отражает их уверенность в стратегии сдерживания пользователя за пределы контейнера.

❓ Кто сказал, что форензики не любят GUI? 📣 VolWeb - это платформа для анализа цифровой судебной памяти, которая использует возможности фреймворка Volatility 3. 🥇 Главным преимуществом VolWeb является предоставление визуального интерфейса для цифровой криминалистики, а также автоматическая обработка и извлечение артефактов с использованием мощностей фреймворка Volatility 3. ✔️ Клонируем репозиторий

git clone https://github.com/k1nd0ne/VolWeb.git

1️⃣ Генерируем самоподписанный сертификат для MinIO или VolWeb

openssl genrsa > ./privkey.pem
openssl req -new -x509 -key ./privkey.pem > ./fullchain.pem

2️⃣ Создаем виртуальное окружение

cd VolWeb/docked
cp .env.aws.example .env
vim .env (or any text editor)

3️⃣ Запускаем контейнер

cd VolWeb/docker
docker-compose up

4️⃣ Переходим по адресу https://fqdn-or-ip-of-volweb/ и используем для входа значения по умолчанию

admin:password
user:password

В 2016 году Илья Лихтенштейн, 35-летний предприниматель российского происхождения, взломал одну из крупнейших криптобирж мира — Bitfinex. Он похитил 120 000 биткоинов, стоимость которых с $70 млн на момент кражи выросла до $10,7 млрд. ✏️ Приговор и сотрудничество с властями На этой неделе федеральный суд США приговорил Лихтенштейна к 5 годам лишения свободы. Его жена, Хизер Морган, также обвиняется в участии в отмывании украденных средств. Она была вовлечена в процесс без подробных объяснений со стороны Лихтенштейна, а узнала о взломе лишь в 2019 году. ✏️ Лихтенштейн полностью признал свою вину и помог правоохранительным органам вернуть 96% украденных биткоинов, а также предоставил ценную информацию для расследований других киберпреступлений. Громкая кража и уникальная схема 🔸 Украдено: 120 000 BTC 🔸 Отмыто: ~21% от суммы (около $14 млн) 🔸 Средства перемещались с использованием курьеров из Казахстана и Украины.

🗣️ Сотрудники IRS назвали использованную Лихтенштейном схему отмывания одной из самых сложных, с которыми они сталкивались.

👀 Интересный факт: Хизер Морган, известная под псевдонимом Razzlekhan, — бизнесвумен и рэперша. Её приговор будет вынесен 18 ноября, и прокуратура запрашивает для неё 18 месяцев тюрьмы. #новости

💵 Стример потерял $100,000 из-за утечки seed-фразы во время эфира Англоязычный криптовалютный стример случайно раскрыл свою seed-фразу во время прямой трансляции, что привело к мгновенной утрате $100,000 (около 10 млн рублей). Ошибка произошла из-за того, что на экране оказалось открыто приложение с заметками, где была сохранена резервная фраза. Злоумышленники тут же воспользовались этой информацией и вывели все средства. ✏️ Seed-фраза — это ключ к вашему криптокошельку. Получив доступ к ней, любой человек может полностью контролировать средства на счёте. 💡 Как избежать таких ситуаций? 🔸Никогда не храните seed-фразу в цифровом формате (особенно на устройствах с выходом в интернет). 🔸Используйте двухфакторную аутентификацию.

🗣️ Это не первый подобный случай. В июле стример Дмитрий Dmitry_Lixxx Лиханов также случайно показал свою seed-фразу в эфире. Хоть часть средств и удалось вернуть, история обошлась ему в немалую сумму.

#новости

🔴 В новом выпуске подкаста «Безопасно говоря» от экспертов Yandex Cloud вы узнаете, как устроены современные автомобили с точки зрения информационной безопасности и чем занимаются службы ИБ у автопроизводителей. Слушайте на Яндекс Музыке или YouTube

В киберкриминальном мире появился новый фишинговый инструмент — GoIssue, нацеленный на пользователей GitHub и всю софтверную экосистему. 👀 GoIssue позволяет злоумышленникам собирать email-адреса с профилей GitHub и запускать массовые фишинговые атаки, что повышает риск кражи исходного кода и проникновения в корпоративные сети. Повышенный риск для GitHub и организаций 🛡 🔸По данным SlashNext, GoIssue представляет собой серьёзную угрозу для разработчиков, использующих GitHub. Захватив учетные данные одного разработчика, злоумышленники могут развернуть атаки на цепочки поставок, создавая уязвимости для всей компании. 🔸Фишинговые кампании, запущенные через GoIssue, могут привести к краже учетных данных, загрузке вредоносного ПО или несанкционированному доступу к приватным репозиториям. Как работает GoIssue? ⚙️ Инструмент автоматизирует сбор email-адресов с GitHub, используя токены и фильтры по критериям — например, членству в организациях и активности. Затем отправляются фишинговые сообщения, имитирующие уведомления GitHub, которые могут обходить спам-фильтры и попасть прямо в почтовый ящик разработчиков. Стоимость и доступность GoIssue GoIssue продается за $700 за индивидуальную версию или $3,000 за полный исходный код, предоставляя анонимность через прокси-сети и позволяя запускать высокотаргетированные фишинговые кампании. Мнение экспертов:

🗣️ «Появление GoIssue сигнализирует о новой эре, когда платформы для разработчиков становятся полем боя, и защита должна адаптироваться», — прокомментировал Джейсон Сороко из Sectigo.

🗣️ «Не менее важно дать пользователям навыки распознавать подозрительные письма и сообщать о них, а также интегрировать человеческую разведку в центр системы безопасности», — добавил Мика Аалто, сооснователь Hoxhunt.

#новости

POODLE — это опасная уязвимость в старом криптографическом протоколе SSL 3.0. Эксплойт позволяет злоумышленникам расшифровывать данные, которые пользователи передают на уязвимых сайтах, и даже захватывать их сессии. ✏️ Что такое SSL и CBC? SSL (Secure Socket Layer) — протокол, обеспечивающий защищённую передачу данных. Он использует асимметричное шифрование для аутентификации и симметричное для конфиденциальности.

В случае с POODLE наибольшая проблема кроется в режиме шифрования CBC (Cipher Block Chaining), где каждый блок данных зашифрован на основе предыдущего, что создаёт слабое место для потенциальной атаки.

⚙️ Как работает POODLE? Чтобы успешно провести атаку, злоумышленник сначала инициирует атаку «человек посередине» (MITM) и выполняет «downgrade dance» — принудительно понижает версию соединения до уязвимого SSL 3.0. В результате можно расшифровать данные в зашифрованной сессии, а злоумышленник получает доступ к cookies, паролям и другим чувствительным данным. ✔️ Почему это важно? POODLE показывает, как устаревшие протоколы, если их оставить включёнными, могут представлять угрозу даже для современных систем. Многие системы всё ещё поддерживают SSL 3.0 ради обратной совместимости, что и делает их уязвимыми для POODLE. ⭐️ Как защититься? В большинстве случаев поможет отключение поддержки SSL 3.0 и использование более современных протоколов, таких как TLS 1.2 или выше. В статье разбираются детали атаки и пошаговый анализ того, как хакеры используют POODLE для расшифровки данных. ➡️ Читать подробнее в блоге

🚩 Новые задания на платформе Codeby Games! 👩‍💻  Категория Active Directory — Аноним 🌍 Категория Веб — Провальный код Приятного хакинга!

Крутая возможность заявить о себе на VK Security Confab Max 11 декабря 2024 года пройдёт конференция по кибербезопасности — VK Security Confab Max. Главные темы: SOC, AppSec, защита пользователей, облаков и инфраструктуры. Программа обещает насыщенный день: технические доклады, нетворкинг, афтепати. Не можете приехать? Будет онлайн-трансляция! Хочешь выступить? Подавай заявку до 29 ноября ➡️ тут Новости и детали ➡️ тут

В предыдущей статье мы копнули тему линий IRQ и приоритетов IRQL, но чтобы погрузиться в практику, нам нужно ещё немного теории. В мире драйверов WDM всё начинается с понимания базовых объектов драйвера и устройства — с того, что определяет его «скелет» и окружение. Об этом — в новой статье. ⚙️ Схема передачи управления Система Windows виртуализирует память, разбивая физическую ОЗУ на 4 КБ фреймы, которым назначаются виртуальные адреса. Когда процесс создаётся, система выделяет ему страницы виртуальной памяти, храня ссылки на них в таблицах Page Directory, PDPT, PD, и PT. При этом 48-битный линейный адрес делится на пять частей, где каждый уровень таблиц содержит 512 записей, что в архитектуре x64 позволяет адресовать до 256 ТБ памяти (пополам между ядром и пользователем). ⚙️ DRIVER_OBJECT и DEVICE_OBJECT: Основные элементы драйвера Что такое драйвер на уровне кода? По сути, это структура DRIVER_OBJECT, где описан весь функционал, который драйвер способен выполнить. Эта структура создаётся диспетчером ввода-вывода Windows, а в нашу функцию инициализации DriverEntry() передаётся лишь указатель на неё. ⚙️ IRP: Пакеты запросов к драйверу IRP, или Input/Output Request Packet — своего рода джокер в системе запросов. Когда пользователь отправляет команду драйверу (например, DeviceIoControl()), создаётся IRP, который поступает драйверу через DEVICE_OBJECT->CurrentIrp. Этот пакет содержит все данные о запросе и предписывает драйверу, что делать дальше. Когда IRP обработан, диспетчер удаляет его, переходя в режим ожидания следующего запроса. ⚙️ Стек драйверов: FDO, PDO и FiDO Каждое аппаратное устройство в модели WDM работает в связке с двумя типами драйверов: физическим (PDO) и функциональным (FDO). К ним может добавляться фильтрующий драйвер (FiDO), если требуется расширить возможности. Эти драйверы выстраиваются в стек, по которому передаются запросы IRP. Запросы передаются по стеку сверху вниз: драйвер верхнего уровня обрабатывает IRP и может передать его ниже. Если драйвер FDO решает, что сам справится с запросом, он завершает обработку, отправив команду IoCompleteRequest(). ✏️ Рекомендуемые команды WinDbg: 🔸 !drvobj — основная информация по DRIVER_OBJECT 🔸 !devobj — основные сведения об устройстве DEVICE_OBJECT 🔸 !devstack — позиция драйвера в стеке ➡️ Читать подробнее

Смотрим в будущее кибербеза на NGENIX ICEBREAKER 2024 Компания NGENIX открывает регистрацию на IV ежегодную конференцию о веб-безопасности, которая пройдет 4 декабря в 11:00, онлайн. Киберугрозы стремительно прогрессируют. Важно держать руку на пульсе и готовиться к угрозам завтрашнего дня. Основные темы ICEBREAKER 2024 — защита и обеспечение доступности веб-ресурсов. Умные боты, атаки на API, WAF, импортозамещение, новые инструменты и технологии. – 3+ часа контента от экспертов NGENIX и лидеров мнений в области ИБ – 14 докладов разных форматов: технические дискуссии, демо, воркшопы – экспертный чат с ответами на вопросы зрителей – презентация новых продуктов и фичей на платформе NGENIX Присоединяйтесь к ICEBREAKER 2024, чтобы быть в курсе последних трендов в области веб-безопасности https://t.me/ru_websecurity.