S.E.Reborn
Copyright: @SEAdm1n Вакансии: @infosec_work Информационная безопасность. Литература для ИТ специалистов. Пентест, OSINT, СИ, DevOps, Администрирование. Сотрудничество - @SEAdm1n РКН: https://vk.cc/cN3VEF
إظهار المزيد📈 نظرة تحليلية على قناة تيليجرام S.E.Reborn
تُعد قناة S.E.Reborn (@s_e_reborn) في القطاع اللغوي الروسية لاعباً نشطاً. يضم المجتمع حالياً 22 358 مشتركاً، محتلاً المرتبة 5 929 في فئة التكنولوجيات والتطبيقات والمرتبة 29 714 في منطقة روسيا.
📊 مؤشرات الجمهور والحراك
منذ تأسيسه في невідомо، حقق المشروع نمواً سريعاً وجمع 22 358 مشتركاً.
بحسب آخر البيانات بتاريخ 16 يوليو, 2026، تحافظ القناة على نشاط مستقر. خلال آخر 30 يوماً تغيّر عدد الأعضاء بمقدار -11، وفي آخر 24 ساعة بمقدار 4، مع بقاء الوصول العام مرتفعاً.
- حالة التحقق: غير موثّقة
- معدل التفاعل (ER): يبلغ متوسط تفاعل الجمهور 7.70%. وخلال أول 24 ساعة من النشر يحصد المحتوى عادةً 3.92% من ردود الفعل نسبةً إلى إجمالي المشتركين.
- وصول المنشورات: يحصل كل منشور على متوسط 1 721 مشاهدة. وخلال اليوم الأول يجمع عادةً 876 مشاهدة.
- التفاعلات والاستجابة: يتفاعل الجمهور بانتظام؛ متوسط التفاعلات لكل منشور يبلغ 5.
- الاهتمامات الموضوعية: يركز المحتوى على مواضيع رئيسية مثل reports, github, linux, sql, docker.
📝 الوصف وسياسة المحتوى
يصف المؤلف القناة بأنها مساحة للتعبير عن الآراء الذاتية:
“Copyright: @SEAdm1n
Вакансии: @infosec_work
Информационная безопасность. Литература для ИТ специалистов. Пентест, OSINT, СИ, DevOps, Администрирование.
Сотрудничество - @SEAdm1n
РКН: https://vk.cc/cN3VEF”
بفضل وتيرة التحديث المرتفعة (أحدث البيانات بتاريخ 17 يوليو, 2026) تحافظ القناة على حداثتها ومستوى وصول مرتفع. وتُظهر التحليلات تفاعلاً نشطاً من الجمهور، ما يجعلها نقطة تأثير مهمة ضمن فئة التكنولوجيات والتطبيقات.
جاري تحميل البيانات...
| التاريخ | نمو المشتركين | الإشارات | القنوات | |
| 16 يوليو | +4 | |||
| 15 يوليو | +7 | |||
| 14 يوليو | +6 | |||
| 13 يوليو | +4 | |||
| 12 يوليو | +8 | |||
| 11 يوليو | +2 | |||
| 10 يوليو | +4 | |||
| 09 يوليو | +2 | |||
| 08 يوليو | +4 | |||
| 07 يوليو | +3 | |||
| 06 يوليو | +8 | |||
| 05 يوليو | +2 | |||
| 04 يوليو | +1 | |||
| 03 يوليو | +7 | |||
| 02 يوليو | +2 | |||
| 01 يوليو | +11 |
| 2 | 💬 История подростков, создавших ботнет Mirai.
• Речь пойдет о короле ботнетов "Mirai" и о истории его создания. Этот ботнет разработали студенты, которые решили организовать DDOS-атаку на собственный университет. Но в конечном итоге Mirai стал самым крупным IoT-ботнетом, а ребят поймали и отправили в места не столь отдаленные.
• К слову, внутри Mirai — небольшой и чистый код, который не отличался технологичностью. Для распространения задействовалась всего 31 пара логин-пароль, но даже этого оказалось достаточно, чтобы захватить более полумиллиона IoT устройств.
➡ Читать статью [12 min].
#Разное | 896 |
| 3 | Используете ИИ в разработке? Проверьте, всё ли учли с точки зрения безопасности.
Эксперты «Лаборатории Касперского» подготовили бесплатный чек-лист, который поможет оценить, насколько безопасно внедрены ИИ-инструменты в вашей компании и поможет проверить:
🟢 защищены ли рабочие места разработчиков;
🟢 как организован доступ к LLM и корпоративным данным;
🟢 учтены ли риски промпт-инъекций;
🟢 безопасны ли MCP-серверы и цепочки поставок.
Материал основан на практическом опыте внедрения LLM во внутренние процессы компании и поможет выявить потенциальные слабые места до того, как они могут стать проблемой.
Более 20 лет «Лаборатория Касперского» развивает ИИ-технологии для кибербезопасности, помогая бизнесу обнаруживать сложные угрозы и быстрее реагировать на инциденты.
Достаточно заполнить короткую форму — и PDF откроется сразу.
🔗 Скачать чек-лист — по ссылке. | 943 |
| 4 | 👩💻 PowerShell Commands for Pentesters.
• В продолжении к вчерашней публикации поделюсь с Вами полезными командами, которые будут полезны пентестерам и специалистам в области информационной безопасности:
+ Locating files with sensitive information:
- Find potentially interesting files;
- Find credentials in Sysprep or Unattend files;
- Find configuration files containing “password” string;
- Find database credentials in configuration files;
- Locate web server configuration files;
+ Extracting credentials:
- Get stored passwords from Windows PasswordVault;
- Get stored passwords from Windows Credential Manager;
- Dump passwords from Google Chrome browser;
- Get stored Wi-Fi passwords from Wireless Profiles;
- Search for SNMP community string in registry;
- Search for string pattern in registry;
+ Privilege escalation:
- Search registry for auto-logon credentials;
- Check if AlwaysInstallElevated is enabled;
- Find unquoted service paths;
- Check for LSASS WDigest caching;
- Credentials in SYSVOL and Group Policy Preferences (GPP);
+ Network related commands:
- Set MAC address from command-line;
- Allow Remote Desktop connections;
- Host discovery using mass DNS reverse lookup;
- Port scan a host for interesting ports;
- Port scan a network for a single port (port-sweep);
- Create a guest SMB shared drive;
- Whitelist an IP address in Windows firewall;
+ Other useful commands:
- File-less download and execute;
- Get SID of the current user;
- Check if we are running with elevated (admin) privileges;
- Disable PowerShell command logging;
- List installed antivirus (AV) products.
#PowerShell | 1 124 |
| 5 | По меньшей мере два разных злоумышленника используют новый метод обхода защиты, называемый подменой идентификатора клиента OAuth, для валидации украденных учетных данных Microsoft Entra, уклоняясь при этом от сбора телеметрии.
Метод позволяет перечислять учетные записи и проверять украденные учетные данные в средах Microsoft Entra ID, не генерируя при этом событие успешного входа в систему, которое в противном случае привлекло бы внимание специалистов по защите.
Злоумышленники начали использовать эту уязвимость для получения несанкционированного доступа к облачным сервисам организации.
Как отмечают в Proofpoint, это «слепое пятно» в телеметрии входа в облако: Entra ID возвращает разные ответы об ошибках в зависимости от того, действителен ли предоставленный идентификатор клиента OAuth.
Злоумышленники используют это для определения действительных имен пользователей и правильных паролей в больших масштабах, фактически проверяя украденные списки учетных данных без регистрации успешного входа в систему.
Другими словами, атаки используют идентификатор клиента OAuth, глобально уникальный идентификатор (GUID), присваиваемый приложениям при запросе доступа к пользовательским данным и передаваемый в качестве client_id в запросах аутентификации.
Предоставляя фейковые идентификаторы клиентов, злоумышленники могут перечислять учетные записи без зарегистрированного приложения OAuth и определять действительность как пароля, так и учетной записи, не генерируя событие успешного входа в систему.
Журналы входа в систему Entra являются основным источником телеметрии для выявления вредоносной активности аутентификации, включая перечисление пользователей, подбор паролей и первоначальные попытки доступа.
При этом такие кластеры угроз, как UNK_CustomCloak манипулируют строками User-Agent для брут-атак на среды Microsoft Entra ID, используя устаревшее приложение Windows Live Custom Domains, обходя стандартные ограничения на вход в систему и проверяя пароли пользователей в объемах более чем 4000 учетных записей.
Однако последние попытки знаменуют демонстрируют совершенствование этого метода, реализуя подмену идентификаторов клиентов OAuth посредством HTTP POST-запросов к конечной точке токена OAuth 2.0 от Microsoft с использованием потока учетных данных владельца ресурса (ROPC).
В частности, это включает в себя предоставление синтаксически корректного идентификатора клиента, но такого, который не соответствует реальному приложению.
В таких сценариях в журнале входа в Entra записывается только идентификатор приложения без соответствующего имени приложения. Ответ, содержащий код ошибки службы токенов безопасности Azure Active Directory (AADSTS), затем можно использовать для определения того, существует ли учетная запись и правилен ли пароль, даже если приложение не зарегистрировано.
Proofpoint выявила две крупные кампании, которые независимо друг от друга использовали эту технику в конце декабря 2025 года:
- UNK_pyreq2323 (с января по март 2026), использовавший более 700 000 поддельных идентификаторов клиентов из инфраструктуры Amazon Web Services (AWS) для атаки на более чем 1 млн. учетных записей в почти 4000 клиентах.
- UNK_OutFlareAZ (начиная с декабря 2025), в рамках которого использовалась инфраструктура Cloudflare для атаки на более чем 2 млн. пользователей с помощью 3,7 млн. случайных поддельных идентификаторов приложений.
В обеих кампаниях использовались действительные UUID и были выявлены закономерности, соответствующие предварительно составленным спискам имен пользователей.
Однако, если в UNK_OutFlareAZ пользователи нумеровались в алфавитном порядке, то в UNK_pyreq2323 этого не делалось. Еще одно различие заключалось в способе подмены идентификаторов клиентов.
UNK_pyreq2323 изменил последние цифры известного идентификатора приложения, а затем повторно использовал поддельные идентификаторы для 12 пользователей. В отличие от него, UNK_OutFlareAZ генерировал уникальный идентификатор клиента для каждого запроса. | 900 |
| 6 | 👩💻 Awesome PowerShell.
• Большая подборка различного материала для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д.:
- API Wrapper;
- Blogs;
- Books;
- Build Tools;
- Code and Package Repositories;
- Commandline Productivity;
- Communities;
- Data;
- Documentation Helper;
- Editors and IDEs;
- Frameworks;
- Interactive Learning;
- Logging;
- Module Development Templates;
- Package Managers;
- Parallel Processing;
- Podcasts;
- Security;
- SharePoint;
- SQL Server;
- Testing;
- Themes;
- UI;
- Videos;
- Webserver;
- Misc.
#PowerShell | 1 157 |
| 7 | Уязвимость в ядре Linux оставалась скрытой практически во всех основных дистрибутивах Linux более 15 лет, прежде чем была исправлена в начале этого года.
Уязвимость отслеживается как CVE-2026-43499 и получила название GhostLock. Она может быть использована непривилегированным локальным злоумышленником для получения прав root и выхода из контейнеров.
За ее обнаружение исследователи Nebula Security получили вознаграждение в размере 92 337 долл. по программе kernelCTF от Google.
По данным Nebula, ошибка может быть использована для повышения привилегий с заявленной вероятностью успеха в 97%. GhostLock был представлен в Linux 2.6.39 в 2011 году и оставался в ядре до тех пор, пока не был исправлен в Linux 7.1, затронув все основные дистрибутивы.
GhostLock обусловлена проблемой в коде блокировки мьютекса реального времени (rtmutex) ядра, используемом механизмом наследования приоритетов futex.
Из-за некорректной операции очистки ядро может сохранять висячую ссылку на память в стеке потока даже после того, как эта память перестает быть действительной.
Затем злоумышленник может освободить эту память с помощью контролируемых данных, в конечном итоге получив возможность перенаправлять выполнение ядра и получить права root.
Хотя эксплойт Nebula Security основан на нескольких передовых методах обхода современных средств защиты ядра и надежного перехвата выполнения ядра, лежащая в его основе ошибка относительно проста.
Вспомогательная функция, первоначально написанная для одного пути выполнения, позже была повторно использована в другом, где она ошибочно обновляла состояние текущего выполняющегося потока вместо потока, которому фактически принадлежал затронутый объект ядра.
По словам исследователей, для реализации GhostLock не требуются повышенные привилегии, пространства имен пользователей или необычные конфигурации ядра.
Система уязвима, если в ней включен параметр CONFIG_FUTEX_PI, который является параметром по умолчанию в большинстве универсальных ядер Linux.
Об уязвимости команду разработчиков безопасности ядра Linux уведомили 18 апреля 2026 года вместе с предложенным исправлением. Другой патч, устраняющий проблему, был принят два дня спустя, и в начале мая началось распространение стабильных версий ядра.
Google подтвердила успешное участие Nebula Security в kernelCTF 30 июня, а исследователи опубликовали свой технический отчет после скоординированного раскрытия информации.
Официальное исправление гарантирует, что ядро очищает информацию о состоянии для правильной задачи ожидания, устраняя «висячий» указатель, который позволил использовать эксплойт.
Nebula Security также отмечает, что включение таких функций защиты, как RANDOMIZE_KSTACK_OFFSET, значительно снижает надежность опубликованной ею техники эксплуатации, хотя обновление до пропатченного ядра остается единственным полным средством защиты.
Пользователям и администраторам Linux следует устанавливать обновления ядра, предоставляемые их дистрибутивом, как только они станут доступны.
Поскольку GhostLock требует локального выполнения кода, ограничение несанкционированного доступа к системам и поддержание ядра в актуальном состоянии остаются наиболее эффективными средствами защиты от эксплуатации. | 1 043 |
| 8 | 📄 История создания формата PDF.
• Создателем PDF (Portable Document Format) является Джон Уорнок, один из основателей Adobe, который захотел облегчить процесс распечатки текста и изображений с компьютера. В 1984 году Уорнок представил язык описания страниц PostScript.
• Изначально PostScript разрабатывался как инструмент для распечатки документов на принтере, но позже Уорнок решил, что с помощью нового языка можно не только выводить документы на печать, но и полностью «оцифровать» систему документооборота.
• В рамках этого видения в Adobe (основателем которой был Уорнок) создали формат IPS (расшифровывается аббревиатура как Interchange PostScript). Для работы с ним был создан Adobe Illustrator — кроссплатформенный графический редактор для Windows и Mac.
• Впервые IPS показали на конференции Seybold в Сан-Хосе в 1991 году, но с таким названием формат просуществовал два года — в 1993 его переименовали в PDF. Тогда же появились Acrobat Distiller и Acrobat Reader (позднее переименованная в Adobe Reader).
• Первое время PDF не пользовался популярностью. Всему виной была высокая цена на софт: Acrobat Distiller для личного пользования стоил 700 долларов, а для корпоративного — 2500 долларов. За Acrobat Reader просили еще 50 долларов. Со временем Adobe снизили цены, и популярность PDF стала набирать обороты.
• К началу нулевых Acrobat Reader 4.0 скачали сто миллионов человек, а PDF-формат стали использовать крупные ИТ-компании, например Microsoft и Apple.
#Разное | 1 302 |
| 9 | 👾 Awesome Vulnerable Applications.
• Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров:
- Online;
- Paid;
- Vulnerable VMs;
- Cloud Security;
- SSO - Single Sign On;
- Mobile Security;
+ OWASP Top 10;
- SQL Injection;
- XSS Injection;
- Server Side Request Forgery;
- CORS Misconfiguration;
- XXE Injection;
- Request Smuggling;
+ Technologies;
- WordPress;
- Node.js;
- Firmware;
- Uncategorized.
➡️ https://github.com/vavkamil/awesome-vulnerable-apps/
#Пентест | 1 491 |
| 10 | ⚙️ Awesome PCAP tools.
• Порой кажется, что задача собирать и анализировать трафик сети очень трудоёмкая. Причин, требующих мониторить трафик может быть множество, начиная от неправильных конфигураций, которые нагружают вашу сеть, до создания поведенческого baseline сетевой активности и анализа аномалий.
• Поделюсь с Вами полезным и объемным репозиторием, который содержит список инструментов для обработки файлов pcap (Packet Capture Data) при исследовании сетевого трафика.
- Linux commands;
- Traffic Capture;
- Traffic Analysis/Inspection;
- DNS Utilities;
- File Extraction;
- Related Projects.
➡️ https://github.com/caesar0301/awesome-pcaptools
#Network | 1 623 |
| 11 | 💣 Вредоносное ПО, вошедшее в историю. Fork bomb (1969 год).
• Fork bomb является не отдельным вирусом или червем, а семейством крайне простых вредоносных программ. Структура кода Fork bomb может состоять всего лишь из 5 строчек. При использовании некоторых языков для написания подобного рода вредоносного ПО исключается необходимость использовать двоеточия, круглые скобки, а порой и все буквенно-цифровые символы.
• Действует Fork bomb по весьма простому пути: для начала программа загружает себя в память, где создает несколько копий себя самой (обычно две). Далее каждая из этих копий создает столько же копий, как и оригинал, и так далее пока память не будет полностью забита, что приводит к отказу системы. В зависимости от устройства этот процесс занимает от нескольких секунд до нескольких часов.
• Одним из первых зафиксированных случаев Fork bomb считается его появление на компьютере Burroughs 5500 в Вашингтонском университете в 1969 году. Именовалась эта вредоносная программа «RABBITS». В 1972 году вирусописатель Q The Misanthrope создал подобную программу на языке BASIC. Забавно, что в этот момент автор был в 7 классе. Еще был случай в неизвестной компании, в 1973 году, когда их IBM 360 были заражены программой «rabbit». В результате был уволен молодой сотрудник, которого обвинили в распространении вируса.
#Разное | 1 783 |
| 12 | 👩💻 Attacking Rust.
- Cargo Dependency Confusing;
- Unsafe Code Usage;
- Integer Overflow;
- Panics in Rust Code;
- memory leaks;
- Uninitialized memory;
- Foreign Function Interface;
- OOB Read plus;
- race condition to escalate privileges;
- TOCTAU race condition;
- out-of-bounds array access;
- References.
#devsecops | 1 706 |
| 13 | 📘 DevOps-инженер: от основ до продакшена — новый курс на Mentorix
Пишете код, но деплой и прод — чёрный ящик? Курс про инженерию эксплуатации: от первого сервера до автоматизированной CI/CD-инфраструктуры, которая держит нагрузку и не падает.
⚙️ Стек: Docker, Kubernetes, Ansible, Terraform, CI/CD, Prometheus + Grafana, логи ELK
🧩 Задания с автопроверкой + лабы в настоящем терминале
💻 Финальный проект в портфолио
🎓 Сертификат · доступ навсегда
🏷 −50% по промокоду DEVOPS50 — только 24 часа
9 990 ₽ → 4 995 ₽
➜ Забрать курс со скидкой
━━━━━━━━━━━━━━
🎁 А ещё на платформе — бесплатные курсы:
Языки программирования
⚡️ Golang — основы языка
🦀 Rust — основы языка
🐍 Основы Python
Инфраструктура и DevOps
🖥 Основы командной строки Linux
🐳 Docker: первые шаги
🔧 Git для начинающих
Базы данных
• SQL с нуля
• MongoDB с нуля
📚 Все бесплатные курсы Mentorix | 860 |
| 14 | Исследователи Positive Technologies поведали про рынки монетизации уязвимостей.
Данные об уязвимостях в ПО или инфраструктуре - важнейшая информация, которая может быть использована как для усиления защиты систем, так и для проведения кибератак.
Уязвимости остаются одной из распространенных киберугроз (35% от доли успешных атак за 2025 год на организации по всему миру) и становится объектом интереса по обе стороны, а ее ценность определяется потенциальными последствиями использования.
По данным Positive Technologies, основными последствиями являются нарушения конфиденциальности (28%) и основной деятельности компаний (13%), а также использование их ресурсов для реализации последующих атак через цепочку поставок (12%).
По мере усложнения ИТ-систем растет и количество слабых мест в них, что приводит к формированию целого рынка уязвимостей, который развивается в двух параллельных направлениях - легальном и теневом.
Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них.
Существует несколько полностью легальных каналов продажи данных об обнаруживаемых уязвимостях. Например, функционирующий уже более 20 лет проект Zero Day Initiative от Trend Micro, но самым масштабным каналом является, кончено же, багбаунти.
Обычно речь идет о типовых недостатках (например, ошибках контроля доступа, конфигурации, XSS). Тенденция подтверждается статистикой одной из популярных багбаунти-площадок: в 2025 году первое место в топе обнаруженных уязвимостей заняла XSS.
Нелегальный же связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем.
Продажа информации об уязвимостях третьим сторонам формирует сегмент рынка, находящийся между багбаунти и теневыми площадками. В такой модели исследователь передает сведения о найденной уязвимости не разработчику для исправления, а посреднику, брокеру или специализированной компании, которые затем используют их в собственных целях или перепродают.
Большая часть активности по теневому обращению информации об уязвимостях и последствиях их эксплуатации размещается на дарквеб-форумах и в группах, где участники обсуждают детали и совершают сделки.
При этом если в багбаунти основное внимание часто уделяется широкому спектру уязвимостей, включая их менее критичные вариации, то на теневых рынках интерес сосредоточен преимущественно на 0-day и готовых доступах к системам.
После компрометации такой доступ превращается в отдельный товар, который может перепродаваться другим злоумышленникам для дальнейших атак. По данным PT, подобные предложения составляют бjльшую часть теневого рынка сервисов - на них приходится 61% сообщений.
Уникальные уязвимости и новые подходы к их эксплуатации формируют отдельный рынок. На ytv также наблюдается активный переход к сервисной модели.
Уже сейчас примерно 7% объявлений, продвигающих сервисные услуги, связаны с покупкой или продажей услуг по эксплуатации уязвимостей в ПО. При этом в 40% объявлений фигурируют 0-day, что дополнительно подтверждает их популярность.
Сстоимость каждой отдельной уязвимости не является строго регламентированной, а в половине случаев (47%) даже не указывается в сообщении, однако основной ценообразующий фактор - эксплуатационная ценность - остается неизменным.
Именно поэтому 49% и 11% от всех объявлений нацелены на 0-day и 1-day соответственно. При этом в 38% сообщений пишется не о продаже, а о покупке данных о конкретной уязвимости.
Большая часть объявлений о продаже сведений об уязвимостях касается тех, которые связаны с RCE и LPE, на них приходится 43% и 25% соответственно.
Более детальные данные доступны в полной версия исследования - здесь. | 1 430 |
| 15 | https://github.com/usestrix/strix
Мультиагентный AI-пентестер. Умеет как атаковать блэкбоксом (достаточно указать таргет), так и разворачивать приложения из исходников, чтобы найти в них уязвимости и проэксплуатировать.
Под капотом скоординированная команда AI-агентов:
— Reconnaissance Agent — отвечает за разведку, сканирует порты и мапит поверхность атаки.
— Code Analysis Agent — шерстит исходный код в режиме white-box, выискивая небезопасные конструкции.
— Dynamic Testing Agent — фаззит эндпоинты и активно взаимодействует с «живым» веб-приложением.
— Validation Agent — получает данные от коллег, пилит под них эксплойты и проверяет, можно ли взломать таргет в реальности.
За счет такой синергии агенты умеют выстраивать сложные цепочки уязвимостей. Если Strix находит баг, на выходе получаешь готовый и рабочий PoC.
Имхо: хороший ассистент как для DevSecOps-пайплайнов (чтобы гонять свои приложения до деплоя), так и для баунти-хантеров, желающих автоматизировать рутинный первичный анализ. | 1 309 |
| 16 | 💻 Кто и когда назвал компьютерное устройство «ноутбуком»?
• Само слово «ноутбук» появилось в 1988 году с подачи журнала PC Magazine, который в статье про NEC UltraLite впервые назвал переносные устройства «ноутбуком» (то есть, по размерам их экран можно было сравнить с листом формата А4).
• Первый популярный ноутбук появился в том же 1988-м. Это был Cambridge Z88. Он умел работать с таблицами и текстами, проводить выборку по базам данных, поддерживал сторонние программы.
• P.S. Обратите внимание на забавное видео из начала 90-х про то, что компьютеры в 2000-е можно будет носить на себе – на шее, на плече или вокруг пояса)))
#Разное | 1 659 |
| 17 | Уязвимость ядра Linux позволяет виртуальным машинам обходить защиту на системах Intel и AMD.
Januscape, обнаруженная 16 лет назад, позволяет злоумышленникам выходить за пределы виртуальных машин и потенциально выполнять код на базовом хосте.
Уязвимость отслеживается как CVE-2026-53359 и получила условное наименование Januscape. Она затрагивает код теневого MMU в гипервизоре виртуальных машин на базе ядра Linux (KVM).
Уязвимость, позволяющая взаимодействовать между гостевыми системами и хостами, представляет собой серьезную угрозу для многопользовательских публичных облаков x86, работающих с ненадежными гостевыми системами и использующих вложенную виртуализацию.
Известно, что это первый эксплойт KVM, который может быть активирован как на архитектурах Intel, так и на AMD. Уязвимость была обнаружена исследователем Хёнву Кимом, который раскрыл её как 0-day в рамках Google kvmCTF.
По словам исследователя, эта уязвимость представляет собой уязвимость типа «использование после освобождения памяти», которая может быть активирована из виртуальной машины и привести к повреждению состояния теневых страниц ядра хоста.
Как поясняет исследователь, успешная эксплуатация Januscape может привести к полной компрометации хоста, на котором работает виртуальная машина.
Например, злоумышленник, арендовавший всего один экземпляр в публичном облаке, может вызвать сбой в работе ядра хоста, чтобы вывести из строя все остальные виртуальные машины арендаторов на той же физической машине (DoS-атака), или запустить код с правами root на хосте, чтобы захватить управление хостом и всеми его гостевыми системами (удалённое управление).
В некоторых дистрибутивах Linux, таких как Red Hat Enterprise Linux (RHEL), уязвимость безопасности может быть использована непривилегированными пользователями для повышения своих привилегий до уровня root.
Для эксплуатации уязвимости Januscape требуются права root на гостевой машине, которые обычно доступны по умолчанию, когда пользователю выделяется экземпляр виртуальной машины в публичном облаке.
Если доступ root недоступен, злоумышленник может объединить эту уязвимость с уязвимостью повышения привилегий, такой как Dirty Frag, как отмечает Ким.
CVE-2026-53359 оставалась неактивной в ядре Linux в течение 16 лет. Она была исправлена в основной ветке 19 июня, когда был объединен коммит 81ccda30b4e8. | 1 396 |
| 18 | 👩💻 Устройство памяти процессов в ОС Linux. Сбор дампов при помощи гипервизора.
• Иногда для анализа вредоносного программного обеспечения или, например, для отладки какого-либо процесса может потребоваться дамп памяти процесса. Но как его собрать без отладчика? Постараемся ответить на этот вопрос в статье.
Задачи:
- Обозначить цель сбора дампа процесса.
- Описать структуру памяти процессов в Linux и отметить различия в старой и новой версиях ядра ОС.
- Рассмотреть вариант снятия дампа памяти процесса внутри виртуальной машины на базе связки гипервизора Xen и фреймворка с открытым исходным кодом DRAKVUF.
Содержание статьи:
- Что такое дамп памяти и зачем он нужен?
- Как организована память процессов в ОС Linux?
- Почему в новых ядрах используется иная структура (maple tree)?
- Сбор областей виртуальной памяти на версии ядра до 6.0;
- Сбор областей виртуальной памяти, начиная с версии 6.1;
- Реализация при помощи Xen и DRAKVUF.
➡️ Читать статью [14 min].
#Linux #RE #kernel | 1 718 |
| 19 | Исследователи Лаборатории Касперского объяснили, кому удобен OpenClaw, отметив основные риски для пользователей агента и как их снизить.
OpenClaw (Clawdbot, Moltbot) - на сегодняшний день одна из самых успешных и быстрорастущих экосистем для ИИ-агентов во всем мире. Проект почти сразу зашел пользователям из-за гибкости и возможности решать достаточно нетривиальные задачи.
Сейчас сотрудники в организациях по всему миру используют OpenClaw для автоматизации своих рабочих задач, часто даже не подозревая о рисках, которые это может нести для них самих и их работодателей.
Успешность проекта была обусловлена тем, что агент принимает инструкции на естественном языке, не требует знания языков разработки и позволяет использовать навыки (skill) для расширения функциональности.
Они могут располагаться в системе с установленным агентом и могут быть получены извне: существует отдельный хаб (ClawHub), где пользователи обмениваются навыками.
Одна из ключевых особенностей навыков - их легко создавать, поскольку для этого не нужно уметь писать код. По сути это набор команд, который написан на естественном языке, хотя и может содержать код.
Как правило, инструкции содержатся в текстовом файле с названием SKILL.md, хотя могут быть и более сложные варианты. Однако основное требование к ним - использование именно текстовых форматов.
Сферы применения навыков достаточно обширны и могут включать в себя как повседневные задачи — проверка почты, выполнение рутинных действий и расчетов при работе с компьютером, - так и достаточно сложные пайплайны для тестирования, исследований или создания ПО.
Для большинства действий агенту требуется доступ к файловой системе ОС, токенам и ключам систем, с которыми он будет работать. Зачастую все необходимые данные пользователи хранят либо в переменных окружения, либо в обычных текстовых файлах рядом с агентом.
За 2 года было найдено около 530 уязвимостей как в самом OpenClaw, так и в технологиях, на базе которых он построен. При этом публикация уязвимостей в базе данных CVE началась только с февраля 2026 года.
При этом число уязвимостей высокой степени критичности достаточно велико. Большинство из них представляют собой проблемы хранения ключевых данных и работы с неадекватно высокими привилегиями. Каждая использоваться для захвата агента или для внедрения команд.
Помимо эксплуатации уязвимостей и введения в заблуждения пользователя, существуют и более специфичные векторы атак на OpenClaw, в частности вредоносные навыки.
Исследования логично проводят параллель между распространением вредоносных навыков и атаками на цепочки поставок. Однако, в отличие от традиционных атак такого типа, создать вредоносный навык значительно проще.
При этом до 7 февраля 2026 года навыки не проходили даже элементарную проверку на вредоносность.Так что появились навыки, позволяющие атаковать различные системы.
В апреле во время одного из сканирований хаба навыков ЛК обнаружила 24 аккаунта, которые распространяли более 600 вредоносных навыков. Всего, по информации из открытых источников, с января было создано более 1100 вредоносных аккаунтов.
После этих исследований и достаточно продолжительной работы по очистке ClawHub от вредоносных навыков его создатели анонсировали проверку файлов перед публикацией с помощью VirusTotal и инструмента SkillSpector от NVIDIA.
С одной стороны, это более корректный подход к публикации навыков, с другой, так как OpenClaw - это в первую очередь агент, который используется для выполнения набора инструкций, обнаружение вредоносной активности выходит на несколько другую плоскость.
Теперь нужно не только анализировать файл на опасные команды, которые должны быть заблокированы. Также нужно анализировать все варианты вредоносного поведения, которое может быть порождено инструкцией в навыке.
Решения ЛК детектируют вредоносные навыки как HEUR:Trojan.ANSI.MalClaw.gen. Кроме того, отслеживают активность вредоносных навыков OpenClaw в системе. Другие рекомендации - в отчете. | 1 368 |
| 20 | 👩💻 История Linux и UNIX! Кто породил ВСЕ современные системы!
• Сегодня погрузимся в истории операционных систем, вернее матери многих современных систем - UNIX.
• 00:15 - Статистика операционных систем;
• 02:10 - Колыбель технологий Bell Labs и энтузиасты;
• 14:20 - Первые ответвления и перенос;
• 18:11 - Загадка века. Почему IBM выбрали не UNIX, а Windows?
• 20:20 - Разделение AT&T и начало широких продаж UNIX;
• 21:04 - Свободу UNIX!
• 25:00 - MINIX и LINUX;
• 29:06 - Linux сам по себе;
• 31:24 - GNU/Linux;
• 35:40 - Наследие и наследники;
• 36:58 - Корни MacOS;
• 38:35 - Android;
• 41:03 - Что стало с людьми?
#Разное | 1 629 |
