Codeby

JWT_TOOL 🛡 JSON Web Token Toolkit v2 - это инструментарий для проверки, подделки, сканирования и фальсификации JWT (веб-токенов JSON). Его функционал включает в себя: *️⃣Проверку действительности токена *️⃣Тестирование на наличие известных эксплойтов: *️⃣Проверка на наличие неправильных настроек или известных уязвимостей *️⃣Изменение значений в запросе, с целью спровоцировать неожиданное поведение *️⃣Проверка достоверности секретного файла/ключевого файла/открытого ключа/ключа JWKS *️⃣...и многое другое! 👉 Установка с использованием Python

git clone https://github.com/ticarpi/jwt_tool
python3 -m pip install -r requirements.txt

👉 Пример использования

python3 jwt_tool.py eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJsb2dpbiI6InRpY2FycGkifQ.aqNCvShlNT9jBFTPBpHDbt2gBB1MyHiisSDdp8SQvgw

Чтобы подробнее узнать о том, что такое JWT, для чего они предназначены, а также полный рабочий процесс, позволяющий тщательно протестировать их на наличие уязвимостей, распространенных недостатков и непреднамеренных ошибок в коде вы можете перейти по ссылке JWT.ATTACK.PLAYBOOK.

Имея даже 1 решенное задание есть шанс получить главный приз. Если еще не присоединились к конкурсу, самое время это сделать Новогодний CTF от S.E. x Codeby Для решения доступно второе задание из 10: 🎅 Северный полюс 🎄 Категория: Веб ❄️ Уровень: лёгкий 🎁 Награда: 1 ключ 🎯 Описание: Санта запустил новый сервис для сбора пожеланий к Новому году! Говорят, где-то на его сервере спрятан особый подарок, но доступ к нему есть только у помощников Санты...

Готовы выпустить продукт? А точно готовы? Проверим в новой статье Вы разработали крутой продукт, добавили в него топовые фичи, протестировали сами — кажется, всё работает идеально. Но готов ли он к реальному миру? Ошибки и уязвимости могут быть незаметны на первый взгляд, но обязательно всплывут, когда продукт попадёт к пользователям. Чтобы не лишиться их доверия (и нервов), стоит провести полноценное тестирование. Как понять, что продукт действительно готов к релизу? С помощью методов тестирования ПО: «черный ящик» и «белый ящик». Эти подходы дают возможность проверить продукт как с точки зрения пользователя, так и под микроскопом кода. 👁 Что скрывается за методами тестирования? 🌟 «Черный ящик» — это работа с продуктом как обычный пользователь. Тестировщик видит только интерфейс: нажимает кнопки, заполняет формы, проверяет сценарии взаимодействия. Инфраструктура и код остаются для него «вне доступа». Этот метод помогает понять, насколько продукт удобен, совместим с разными устройствами и работает под нагрузкой. 🌟 «Белый ящик» — совсем другая история. Тестировщик погружается в код, чтобы найти баги, проверить чистоту написания, а также обнаружить уязвимости и логические ошибки. Метод позволяет заметить всё, что невидимо на поверхности. 🌟 «Серый ящик» — это золотая середина. Код частично открыт, что позволяет углубиться в важные блоки, не теряя из виду интерфейс и пользовательские сценарии. Как работает тестирование? Продукт подвергается испытаниям на всех уровнях — от мелких деталей до глобальной инфраструктуры: 1️⃣ Модульное тестирование (Unit) — проверяются отдельные фрагменты кода. 2️⃣ Интеграционные тесты — оцениваются связи между модулями. 3️⃣ End-to-End тестирование — продукт проверяется как единое целое. На каждом этапе выявляются уникальные проблемы: от багов в логике до провалов в нагрузочных тестах. Почему оба метода важны? Тестирование «черного ящика» позволяет увидеть продукт глазами пользователя, выявить проблемы с функциональностью и UX. Но без «белого ящика» легко пропустить критичные уязвимости внутри кода. В новой статье мы разобрали: 🔸 Преимущества и ограничения каждого метода 🔸 Когда стоит использовать «черный ящик», а когда лучше сосредоточиться на «белом» 🔸 Почему оптимальная стратегия — это их сочетание Не дайте багам шанса испортить впечатление от вашего продукта! Узнайте больше и доведите своё ПО до совершенства, а Кодебай Вам в этом поможет ➡️ Читать статью в блоге

CAPA - инструмент с открытым исходным кодом, с помощью которого можно определять возможности исполняемых файлов. Позволяет сопоставлять неизвестные файлы с техникам из матрицы MITRE ATT&CK и каталогом поведения вредоносных программ. Так же показывает возможности файла с указанием на правила capa, с помощью которых они были определены. ⚙️ Для запуска требуется лишь передать название исполняемого файла:

./capa input_file

✏️При передаче флага -vv выводится более подробное описание, в котором утилита сообщает, где были обнаружены признаки найденных возможностей. Благодаря этому повышается доверие к результатам программы и можно более подробно изучить исполняемый файл в IDA. 📝Правила capa Для обнаружения возможностей программы утилита использует определенный набор правил, которые представляют из себя смесь правил OpenIOC, Yara и YAML. При большом желании и стремлении сделать проект лучше можно самому дописать правила, что позволит утилите в дальнейшем распознавать интересные методы в вредоносных программах 💱 Плагин для IDA Pro При использовании IDA Pro, существует возможность работать с плагином capa Explorer. Данный плагин помогает определять интересные области программы и создавать новые правила capa, используя непосредственно извлеченные функции из вашей базы данных IDA.

Основной целью киберпреступников является шпионаж и закрепление в системе для развития последующих атак Данная группировка получила название TaxOff. В своих атаках злоумышленники использовали многопоточный бэкдор Trinper, написанный на С++. ✉️ Начальный вектор заражения — фишинговые письма. ⏺️В некоторых случаях письмо содержит ссылку на «Яндекс Диск», в котором хранится файл «Материалы.img». Одним из вложений, находящихся внутри этого файла, была html страница с фальшивой формой авторизации. Другие же являлись бэкдором Trinper. ⏺️А в остальных, злоумышленники распространяют ПО «Справки БК», содержащее два исполняемых файла bk.exe и DotNet35.exe. 💱 После выполнения bk.exe будет автоматически выполнен DotNet35.exe, содержащий бэкдор Trinper. В начале бэкдор десериализирует конфигурацию и получает оттуда имя, которое должно быть у него. Если оно отличается, то выполнение прекращается. В случае, если имена совпадают, бэкдор продолжает инициализацию и вызывает функцию для получения информации о компьютере жертвы 🔎 Далее Trinper запускает в разных потоках три класса, которые служат для: ⏺️коммуникации с С2 (происходит через генерацию сессионного ключа для AES-128-CBC, далее импортируется публичный RSA-ключ и становится возможен цикл общения с C2, использующийся для получения команд, получения и отправки результатов работы команд) ⏺️мониторинга файловой системы (перебирает все подключенные диски и рекурсивно ищет хранящиеся на дисках файлы с расширениями .doc, .xls, .ppt, .rtf, .pdf) ⏺️перехвата нажатия клавиш

ffuf ffuf — это быстрый веб-фаззер, написанный на Go, который позволяет выполнять типичное обнаружение каталогов, обнаружение виртуальных хостов (без записей DNS), а также фаззинг параметров GET и POST. Использование:

ffuf -w [/path/to/wordlist] -u [URL/FUZZ]

❄️ Напоминаем, на каких курсах начинается обучение в декабре Запись до 12 декабря: ⭐️ Курс «Тестирование Веб-Приложений на проникновение (WAPT)» 🌟 Курс «Введение в Информационную Безопасность» 🌟 Курс «Реагирование на компьютерные инциденты» 🌟 Курс «Компьютерные сети» Старт 9 декабря: 🌟 Курс «Организация защиты информации на объектах критической информационной инфраструктуры» Старт 16 декабря: ⭐️ Курс «Анализ защищенности инфраструктуры на основе технологий Active Directory» 🌟 Курс «Реверсивный инжиниринг ПО под ОС Windows» 🌟 Курс «Python для Пентестера» 🌟 Курс «Основы DevOps» 🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Российские СМИ сообщили о задержании в Калининграде одного из самых известных киберпреступников — Михаила Павловича Матвеева, известного в сети под псевдонимами WazaWaka, Uhodiransomwar, m1x и Boriselcin 👀

🗣️ Согласно данным агентства РИА Новости, суд уже зарегистрировал уголовное дело против Матвеева, который обвиняется в создании вредоносного ПО. В материалах дела утверждается, что в январе 2024 года он разработал новую версию программ-вымогателей.

Имя Матвеева впервые стало известно благодаря расследованию журналиста Брайана Кребса в 2022 году. ✏️ В 2023 году Министерство юстиции США обвинило его в организации атак программ-вымогателей на ряд организаций, включая департамент полиции Вашингтона и медицинские учреждения Нью-Джерси. 🔖 Кроме того, Матвеев был связан с такими группировками, как Babuk, Conti, Darkside, Hive и LockBit. За информацию, которая помогла бы задержать Матвеева, США объявили награду в $10 млн. #новости

Darkdump - скрипт, написанный на Python, который позволяет вытащить веб-сайты с домена .onion, относящиеся к запросу, введенному пользователем. Работает через поисковую систему Ahmia. ⬇️Установка:

git clone https://github.com/josh0xA/darkdump cd darkdump python3 -m pip install -r requirements.txt

🧅 Конфигурация Tor: Для эффективной работы утилиты необходимо настроить Tor так, чтобы скрипт мог им управлять через порт управления Tor. ⏺️Для этого необходимо сперва скачать Tor:

sudo apt install tor

⏺️Затем настроить файл /etc/tor/torrc, добавив в него порт управления и хэшированный пароль. Пароль, в свою очередь можно получить так:

tor --hash-password "your_password"

⏺️Остается запустить сервис Tor

sudo systemctl start tor.service

Запуск утилиты:

python3 darkdump.py -q "free movies" -a 10

🚩 Возможные флаги: -q - запрос пользователя -a - количество результатов, которые вы хотите получить -p - использовать tor proxy для парсинга -i - парсить изображения и визуальный контент с сайта -s - парсить сам сайт на наличие контента и искать ключевые слова

Команда Codeby ищет талантливого руководителя команды пентестеров! 😎 Что нужно делать: 🔸Ставить задачи пентестерам и контролировать их выполнение. 🔸При необходимости искать (при помощи HR) и обучать новых сотрудников. 🔸В случае необходимости самостоятельно искать уязвимости на проектах. 🔸Готовить отчет о проделанной работе для заказчиков и руководства. 🔸Оценивать новые входящие проекты по стоимости и срокам. 🔸Взаимодействовать с другими отделами. 🔸Работать в Битрикс24. Что нужно: 🔸Обладать необходимыми навыками и знаниями в обозначенной области и иметь релевантный опыт работы. Что предлагаем: 🔸Белая з/п от 350 т.р. 🔸Полный рабочий день, 🔸График работы: удаленный/гибрид 🔸IT-аккредитация (компания зарегистрирована в регионе, возможна IT-ипотека). 🚀 Для отклика пишите: @bonya_suri Порекомендуйте вакансию знакомым — мы отблагодарим!

Госдума приняла поправки, значительно усиливающие ответственность за утечки и неправомерный оборот персональных данных. ❗️Главной целью поправок является стимулирование компаний к увеличению инвестиций в кибербезопасность. Что же изменилось? 🔹 Введены многократные увеличения штрафов для граждан, должностных и юридических лиц в зависимости от количества скомпрометированных данных: • 1-10 тыс. субъектов/10-100 тыс. идентификаторов: Граждане 100-200 тыс. руб., должностные лица 200-400 тыс. руб., юрлица 3-5 млн руб. • 10-100 тыс. субъектов/100 тыс. - 1 млн идентификаторов: Граждане 200-300 тыс. руб., должностные лица 300-500 тыс. руб., юрлица 5-10 млн руб. • >100 тыс. субъектов/ >1 млн идентификаторов: Граждане до 400 тыс. руб., должностные лица до 600 тыс. руб., юрлица до 15 млн руб. 🔹При рецидиве нарушений юридические лица будут платить штрафы в размере от 1 до 3% от годовой выручки, но не менее 20 млн и не более 500 млн рублей. 🔹 Усилена ответственность за утечку и незаконное использование биометрических данных (штрафы снижены для должностных лиц, но введена уголовная ответственность, а нарушителям грозит до 4 лет лишения свободы, а при корыстных мотивах или утечке данных несовершеннолетних — до 10 лет). 🔹 Предусмотрены штрафы за несвоевременное уведомление о планах обработки данных и за отказ в заключении договоров с потребителями, отказавшимися от биометрической идентификации. 🔹 Для компаний смягчающими обстоятельствами являются: инвестиции в ИБ, отсутствие нарушений и высокий уровень цифровой зрелости. «Закон, в случае его подписания Президентом, вступит в силу по истечении 180 дней после дня его официального опубликования»

❄️ Напоминаем, на каких курсах начинается обучение в декабре Запись до 12 декабря: ⭐️ Курс «Тестирование Веб-Приложений на проникновение (WAPT)» 🌟 Курс «Введение в Информационную Безопасность» 🌟 Курс «Реагирование на компьютерные инциденты» 🌟 Курс «Компьютерные сети» Старт 9 декабря: 🌟 Курс «Организация защиты информации на объектах критической информационной инфраструктуры» Старт 16 декабря: ⭐️ Курс «Анализ защищенности инфраструктуры на основе технологий Active Directory» 🌟 Курс «Реверсивный инжиниринг ПО под ОС Windows» 🌟 Курс «Python для Пентестера» 🌟 Курс «Основы DevOps» 🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Главная аналитическая конференция по кибербезопасности Код ИБ ИТОГИ в Москве совсем скоро! 🗓 5 декабря 📍 Москва, отель Palmira Business Club (ул. Новоданиловская набережная 6, к.2) Конец года — лучшее время, чтобы в кругу профессионалов изучить аналитику, узнать последние тренды ИБ и прогнозы для принятия верных решений. Поэтому ждем вас на конференции Код ИБ ИТОГИ. В программе: 📌 3 дискуссии — CISO говорят — Стартапы говорят — БОССЫ кибербеза говорят 📌 6 тематических сессий — Защита инфраструктуры — Анализ защищенности — Защита данных — Безопасная разработка — Культура кибербезопасности — Комплаенс А также: — Зона со стендами ИБ-компаний — Новогодние угощения — Розыгрыши подарков — Дружественная атмосфера 🎁 И новогодний сюрприз каждому активному участнику Глубокая аналитика, уникальный экспертный контент, жаркие дискуссии и непринужденная атмосфера: не пропустите главную аналитическую конференцию в сфере кибербеза! Регистрируйтесь уже сейчас. Участие бесплатное, количество мест ограничено.

WFuzz 🔑 WFuzz — это еще один инструмент для взлома паролей методом перебора, такой же, как Medusa и THC Hydra. Еще одна особенность программы — поиск скрытых ресурсов, таких как сервлеты, каталоги и скрипты. Инструмент также поддерживает несколько типов инъекций с несколькими словарями. WFuzz также может находить инъекционные уязвимости в приложении, такие как XSS-инъекции, SQL-инъекции и LDAP-инъекции. WFuzz — это не просто средство для взлома паролей; программа также позволяет пользователям обнаруживать уязвимости и обеспечивать безопасность веб-приложений в целом. Использование:

wfuzz -c -z file,<PATHTOWORDLIST> --hc 404 http://<IP>/FUZZ

Рассмотрим интересную на мой взгляд CVE-2017-11774 в Microsoft Outlook, позволяющую выполнить произвольный код в системе. Для данной уязвимости было выпущено исправление от Microsoft в октябре 2017 года, однако оно все равно позволяло злоумышленникам эксплуатировать уязвимость через подмену ключей реестра, которые указывают на внешний сайт, контролируемый хакерами. ⚙️ Эти ключи можно найти в разделе реестра: ⏺️HKCU\Software\Microsoft\Office\*\Outlook\WebView\ ⏺️HKCU\SOFTWARE\Microsoft\Office\*\Outlook\Today Сама уязвимость заключается в следующем: 1️⃣ Злоумышленник убеждает пользователя открыть фишинговое письмо с ВПО, меняющее ключи реестра и создющее новый параметр с именем URL, значением которого является вредоносная ссылка. 2️⃣Далее после изменения ключей, Outlook загружает и отображает HTML-страницу при выборе соответствующей вкладки, вместо стандартного содержимого. 3️⃣С этой страницы злоумышленники могут запускать VBScript или JScript с привилегиями, аналогичными запуску скриптов через cscript или wscript. 🚨 Злоумышленники могут использовать данный метод для сохранения доступа и распространения на другие системы, используя Outlook как C2-платформу. Так как процесс outlook.exe является доверенным, это упрощает обход существующих средств защиты. ❗️ Для осуществления проверки узлов на предмет эксплуатации CVE-2017-1774 необходимо проверить пути реестра во вложении на наличие каких-либо ссылок, ведущих на внешние ресурсы (http/https). 💱 Для автоматизации проверки реестра на узлах можно использовать готовый инструмент NotRuler.

Для предотвращения эксплуатации уязвимости требуется отключить параметр WebView для папок в Outlook, изменив следующие ключи реестра: HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\WebView"Disable"= dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security"EnableRoamingFolderHomepages"= dword:00000000 HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security"NonDefaultStoreScript"= dword:00000000 HKEY_CURRENT_USER\Software\Microsoft\Office\\Outlook\Security\"EnableUnsafeClientMailRules"= dword:00000000

RainbowCrack🗝 RainbowCrack - взламывает хеши с "радужными таблицами". RainbowCrack использует алгоритм компромисса времени и памяти для взлома хешей. Он отличается от хэш-взломщиков, которые используют алгоритм грубой силы.

Радужная таблица — это предварительно вычисленная таблица для кэширования выходных данных криптографической хеш-функции, обычно используемой для взлома хэшей паролей. Пароли обычно хранятся не в текстовой форме, а в виде хеш-значений. Если такая база данных хешированных паролей попадет в руки злоумышленников, они могут использовать предварительно вычисленную радужную таблицу для восстановления паролей в виде открытого текста. Распространенной защитой от этой атаки является вычисление хешей с использованием функции получения ключей, которая добавляет «соль» к каждому паролю перед его хешированием, при этом разные пароли получают разные соли, которые хранятся в виде обычного текста вместе с хешем.

Список таких таблиц для скачивания: 🧾http://project-rainbowcrack.com/table.htm Чтобы создать свою таблицу, воспользуемся командой:

rtgen md5 loweralpha 1 4 0 1000 1000 0

где - md5, создаёт радужную таблицу для хеша md5. loweralpha использует только строчные буквы. 1 - минимальная длина пароля, 4 - максимальная длина пароля. Пустые пробелы - индекса таблицы, длина цепочки и номер цепочки установлены на 1000.

Таблица будет находиться в каталоге

/usr/share/rainbowcrack

Для взлома хеша MD5 пароля состоящего из четырех символов, будем использовать созданную нами ранее радужную таблицу, но перед этим необходимо отсортировать радужную таблицу с помощью следующей команды:

rtsort .

Теперь используем RainbowCrack для взлома хеша пароля:

rcrack . -h [ХЕШ md5]

Zmap 🕸 ZMap — это быстрый однопакетный сетевой сканер без сохранения состояния, предназначенный для обследований сетей в масштабе Интернета. На обычном настольном компьютере с гигабитным соединением Ethernet, ZMap способен сканировать все общедоступное адресное пространство IPv4 на одном порту менее чем за 45 минут.

Будьте аккуратнее, при использовании Zmap, так как при очень высокой нагрузке, утилита способна вывести из строя сетевое оборудование.

В настоящее время ZMap имеет полностью реализованные модули зондов для сканирования TCP SYN, ICMP, DNS-запросов, UPnP, BACNET и может отправлять большое количество зондов UDP. Если вы хотите выполнить более сложное сканирование, обратите внимание на ZGrab 2, родственный проект ZMap, который выполняет рукопожатия на уровне приложения с отслеживанием состояния. Использование:

sudo zmap -p <PORT> -r <IP>/23

#новости ⚡️ В канун Нового года на Северный Полюс совершена серия загадочных атак, которые ставят под угрозу доставку новогодних подарков. Сегодня, администрацией Деда Мороза было обнаружено, что центральная система распределения подарков взломана. Кто-то оставил сообщение с угрозой:

“Если до 29 декабря злоумышленников не найдут, никто не получит подарков” 🎁

Для поиска уязвимостей и восстановления доступа к системе было принято решение привлечь для помощи участников “Зимних Хакеров” ❄️Примите участие в спасении праздника! ⭐️ Правила игры: 🔸 Задания появляются не по расписанию — внимательно следите за анонсами! 🔸 Как только появляется новое задание, старое исчезает — всего 10 заданий 🔸 За каждое задание вы получите уникальный ключ 🗝 🔸 Чем больше ключей, тем выше шанс выиграть, но даже с одним ключом есть шанс! 🔸 Розыгрыш состоится 30 декабря через рандомайзер 🎁 🔔 Первое задание станет доступно уже завтра, не пропустите! 🚨 После анонса каждое задание актуально до появления нового! Внимательно следите за анонсами в нашем канале и переходите в наш бот: @codeby_se_bot

🚩 Итоги осеннего сезона на платформе Codeby Games Осенний сезон подошёл к концу, а это значит, что пришло время объявить победителей! 🥇Term1nal - Flipper Zero, любой курс Академии Кодебай, 1 год подписки на Codeby Games 🥈A1ERTA - любой курс Академии Кодебай, 3 месяца подписки на Codeby Games 🥉fgh - любой курс Академии Кодебай, 3 месяца подписки на Codeby Games 4-10 место - 15% скидка на любой курс Академии Кодебай, 1 месяц подписки на Codeby Games Благодарим всех за участие и желаем удачи в зимнем сезоне, который стартует 7 декабря! ☃️