Codeby

Уважаемые клиенты, ввиду блокировки Cloudflare часть наших сайтов временно недоступна без VPN. В том числе и codeby.school. Наши инженеры в курсе проблемы и обещают ее решить в течение часа.

🚨 Социальная инженерия и OSINT в VK: раскрытие методов и инструментов В новой статье мы покажем два подхода, которые используют OSINT-специалисты для сбора информации в VK. На примере реального кейса разберём, как можно получить максимум данных, начиная с простого никнейма или фотографии. ✉️ Пассивный сбор данных: Узнаем, как найти профиль по никнейму, применяя Google Dork, Web Archive и полезные боты для анализа закрытых страниц. Покажем инструменты для поиска по фото, такие как FindClone и search4faces, чтобы отыскать людей даже с минимальными данными. ✏️ Активный сбор данных с помощью социальной инженерии: Расскажем, как можно использовать хитрые ссылки и инструменты, такие как StormBreaker, чтобы получить дополнительную информацию о цели. ➡️ Читать подробнее ➡️ Стать экспертом по OSINT на обновленном курсе Академии здесь

😎 Напоминаем, на каких курсах начинается обучение в ноябре: 🌟 6 ноября: Курс «Введение в Реверс инжиниринг» (Запись до 16 ноября) 🌟 7 ноября: Курс «Боевой OSINT» 🌟 11 ноября: Курс «Основы Linux» 🌟 25 ноября: Курс «Цифровая криминалистика и реагирование на инциденты ОС Linux (DFIR)» ✔️ Запись на курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» продлится до 7 ноября! Внимание! До конца ноября у вас есть возможность купить курсы декабря по старым ценам*: 🔸2 декабря: Курс «Тестирование Веб-Приложений на проникновение (WAPT)» 🔸16 декабря: Курс «Анализ защищенности инфраструктуры на основе технологий Active Directory» *С декабря стоимость курсов увеличится на 15% 🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!

Растет тенденция использования кибергруппировками в атаках сертификатов с расширенной проверкой (EV). Основные злоупотребления включают использование кодовых подписей для обхода мер безопасности, получения привилегий и создания доверия у пользователей. Злоумышленники могут приобретать EV-сертификаты на теневых рынках за $2000-6000. Получение сертификатов возможно через создание фиктивных компаний или кражу подписей у реальных организаций, как это произошло с NVIDIA, которые затем использовались в реальных атаках. Это позволяет им подписывать вредоносное ПО и распространять его под видом легитимного. Злоумышленники используют купленные электронные подписи для: 🔸Обхода антивирусных проверок и повышения доверия к их программам. 🔸Получения административных привилегий в операционных системах. 🔸Публикации вредоносного кода, который выглядит как подписанный легитимным разработчиком, что снижает подозрения у пользователей и систем безопасности Чтобы снизить риски специалисты Intrinsec рекомендуют: 🔸 Строгие правила белого и черного списков приложений. 🔸 Тщательная проверка валидности сертификатов. 🔸 Проверка отзыва сертификатов. 🔸 Использование репутационной аналитики для обнаружения вредоносных сертификатов. 🔸 Применение техники песочниц и изоляции для неизвестных исполняемых файлов Для блокировки недоверенных сертификатов в Windows используются следующие механизмы: 🔸Контроль доступа к сертификатам через Certificate Trust Lists (CTL), которые позволяют доверять только определенным сертификатам или блокировать недоверенные. 🔸 Групповые политики: через Group Policy можно настроить блокировку исполняемых файлов, подписанных недоверенными сертификатами. 🔸 SmartScreen: технология, которая проверяет цифровые подписи приложений и блокирует их, если сертификаты недоверенные или отозваны. 🔸 AppLocker: позволяет настроить правила для запуска только тех приложений, которые подписаны доверенными сертификатами.

Исследователи кибербезопасности обнаружили новую волну атак, в которых злоумышленники эксплуатируют API DocuSign для отправки поддельных счетов. В отличие от традиционного фишинга, здесь преступники создают подлинные аккаунты и используют шаблоны DocuSign, чтобы выдавать себя за известные бренды и обходить защитные фильтры 💱 👀 Новый уровень фишинга Вместо поддельных писем с вредоносными ссылками, эти атаки используют реальные сервисы для создания доверия.

🗣️ К примеру, как сообщает Wallarm, киберпреступники открывают платные аккаунты DocuSign и настраивают шаблоны для имитации счетов от компаний, таких как Norton Antivirus.

Злоумышленники отправляют такие счета напрямую через DocuSign, и они проходят проверку как подлинные, так как исходят с легитимного сервиса, не содержащего явных вредоносных ссылок. ✏️ Чтобы снизить риски, специалисты Wallarm рекомендуют: 🔸 Проверять отправителя и внимательно смотреть на подозрительные письма. 🔸 Вводить многоступенчатое подтверждение финансовых операций. 🔸 Обучать сотрудников распознавать поддельные счета. 🔸 Мониторить любые неожиданные транзакции. Сторонние сервисы также должны применять ограничение на количество запросов к API и отслеживать аномалии в активности API. 🟢 API уязвимости За последние месяцы пользователи DocuSign массово жалуются на мошеннические счета, указывая на высокую автоматизацию таких атак. Злоумышленники используют API DocuSign, чтобы отправлять поддельные счета в большом объеме. Wallarm предупреждает: удобство API дизайна — это и потенциальная лазейка для злоумышленников. #новости

K2 Cloud + DevOops Conf = бесплатный день конференции для инженеров 💜 Ребята из K2 Cloud помогли организовать Community Day для DevOps-специалистов. 6 ноября ты сможешь бесплатно послушать часть докладов конференции DevOops: от основ работы сертификатов до организации Flux CD monorepo. Для участия нужно только зарегистрироваться. Подробнее на сайте

Seeker Seeker - инструмент для определения точного местонахождения человека. Модель походит на фишинговую, жертве отправляется специальная ссылка по которой ей нужно перейти, затем он попадает на сайт и тогда нужно чтобы жертва разрешила доступ к геолокации в контекстном окошке браузера, если жертва не знает английский, это нам на руку. Создаем фейковую страницу приглашения в беседу для telegram, название ей "Выпускники 11 "А". 🔸 Установка утилиты

git clone https://github.com/thewhiteh4t/seeker

🔸 Запуск

cd seeker/
python3 seeker.py

Далее заполняем шаблон и подкручиваем клиент, можно использовать ngrok, но будьте аккуратны,

ngrok строго относится к тому, что на нём запускают.

🔸 Установка ngrok

Скачиваем архив и командой разорхивируем его: sudo tar -xvzf ~/Downloads/ngrok.tgz -C /usr/local/bin

🔸 Далее создаём аккаунт и регистрируем автотокен, его можно найти у себя на аккаунте

ngrok config add-authtoken <token>

Отлично! Теперь командой ниже, запускаем клиент и можно отправлять ссылку любому человеку.

ngrok http 8080

Нет времени объяснять, регистрируйся на МТС True Tech Champ 🚀 Осталось несколько дней до шоу финала ИТ-чемпионата. Дата: 8 ноября Место: МТС Live Холл Формат: Офлайн + Онлайн Участников ждут: 🤖 Шоу с гонкой роботов в интерактивных лабиринтах 🕹 20+ активностей для кодеров и фанатов технологий 🧠 Выступления спикеров, воркшопы, плохие прогерские шутки Тебе точно понравится, если ты: — Занимаешься разработкой — Интересуешься технологиями — Планируешь построить карьеру в ИТ До конца регистрации несколько дней — успей присоединиться: https://truetechchamp.ru/conf

🚩 Новые задания на платформе Codeby Games! 🖼 Категория Стеганография — Тайна пикселей 🏆  Категория Квесты — Симпсоны Приятного хакинга!

Исследовательская группа Sysdig Threat Research Team (TRT) сообщает о глобальной атаке под кодовым названием Emeraldwhale, нацеленной на уязвимые Git-конфигурации. В результате этой операции злоумышленники похитили более 15,000 учетных данных для облачных сервисов, а также смогли клонировать более 10,000 приватных репозиториев. ⌛ Масштаб утечки Украденные данные включают широкий спектр сервисов, от облачных провайдеров до почтовых платформ. Похищенные учетные данные активно используются в фишинговых и спам-кампаниях, а также продаются на подпольных рынках, где стоимость аккаунта может достигать сотен долларов. ⚙️ Инструменты и тактика атакующих В ходе расследования Sysdig обнаружил, что злоумышленники использовали автоматизированные инструменты для поиска открытых Git-конфигураций и файлов .env, содержащих учетные данные. С помощью таких инструментов, как httpx и специализированных сканеров, Emeraldwhale смогли получать доступ к закрытым репозиториям и извлекать ключи для дальнейших атак.

🗣️ Атака Emeraldwhale показала, что одних мер по защите секретов недостаточно — критически важно отслеживать действия всех учетных записей с доступом к конфиденциальной информации. В противном случае утечка данных может стать точкой входа для широкомасштабных атак.

🛡 Как защититься? 🔸 Периодически проверяйте конфигурации веб-сервисов на предмет ошибок. 🔸 Используйте системы мониторинга активности учетных записей. 🔸 Обучите сотрудников основам безопасности для предотвращения ошибок, приводящих к утечкам данных. #новости

Новый CTF-марафон от «Доктор Веб»! Уже второй год подряд компания организует CTF-марафон для студентов и молодых IT-специалистов. CTF-марафон пройдет в онлайне с 00:00 воскресенья 3 ноября и до 23:59 субботы 16 ноября 2024 года. Регистрация уже открыта по ссылке ✅ Победителей ждут ценные призы, а главной наградой за успешное взятие флагов может стать должность вирусного аналитика в компании «Доктор Веб» и возможность решать уже не игровые, а боевые задачи в команде антивирусной лаборатории Dr.Web. Вас ждут 16 заданий, связанных с реверс-инжинирингом и анализом файлов, если вы готовы к непростым, но увлекательным задачам — регистрируйтесь, и пусть победит сильнейший!

Aircrack-ng👩‍💻 Aircrack-ng - это инструмент, который используется для безопасности и взлома Wi-Fi сетей. Это всё в одном - сниффер пакетов, взломщик WEP и WPA/WPA2, инструмент анализа и инструмент захвата хэшей. Он помогает захватывать пакеты и считывать из них хэши и даже взламывать эти хэши с помощью различных атак, таких как атаки по словарю. Может работать в 4 режимах: Режим монитора - Мониторит передачу пакетов и захватывает их, пока не поймает определённый файл с хэшем. Режим атаки - Создаёт поддельные точки доступа и выполняет деаунтификацию. Режим тестировки - Проверка вашей сетевой карты на совместимость и исправность, относительно работы программы. Режим взлома - взламывет WEP или WPA PSK. 🔸Для вывода листа доступных сетевых интерфейсов, можно просто написать:

airmon-ng

🔸Можно остановить сетевой интерфейс:

airmon-ng stop <INTERFACE>

🔸И запустить на определённом канале:

airmon-ng start <INTERFACE> <CHANNEL>

🔸Давайте попробуем украсть аутентификационное рукопожатие)):

airodump-ng -c <CHANNEL> --bssid <BSSID> -w psk <INTERFACE>

🔸А далее можно подобрать пароль с помощью aircrack-ng:

aircrack-ng -w <PATH_T0_WORDLIST> <HANDSHAKE>

29 октября Apple выпустила критическое обновление безопасности для 90 своих сервисов и операционных систем, включая macOS, iOS, iPadOS, watchOS, tvOS и visionOS. Обновления также коснулись Safari и iTunes. Это обновление устраняет множество уязвимостей, которые могли поставить под угрозу конфиденциальность и безопасность пользователей. Что нового? 🔸 macOS: Исправлены уязвимости, которые позволяли злоумышленникам получить доступ к контактам, конфиденциальным данным геолокации через сервис Find My и утечкам критических данных ядра. Некоторые из них также устраняли возможность атаки отказа в обслуживании (DoS) при открытии вредоносных изображений. 🔸 Safari: Закрыты дыры, позволявшие утечку истории просмотров в режиме Private Browsing. 🔸 iOS и iPadOS: Устранены баги, которые позволяли просматривать личные данные, даже если устройство заблокировано. Среди уязвимостей — проблема с Siri, из-за которой можно было просматривать фотографии контактов. 🔸 visionOS 2.1: Обновление включает исправления более чем 25 уязвимостей, некоторые из которых позволяли выполнение произвольного кода, доступ к конфиденциальной информации и даже полный сбой системы.

🗣️ Apple подчеркивает, что своевременное обновление ПО — это ключ к защите устройств и данных. Исследователи из таких компаний, как Trend Micro, CrowdStrike, Alibaba и JD.com, внесли значительный вклад в обнаружение и устранение этих уязвимостей.

#новости

😎 Кодебай на Kuban CSC 2024. Как это было? На прошлой неделе завершилась международная конференция по кибербезопасности Kuban CSC 2024, и мы рады поделиться с вами, как она прошла! В этом году Кодебай выступал генеральным партнером мероприятия, поддерживая всё – от организации CTF-соревнований до открытия нашего фирменного стенда, где собрались сотни участников. ℹ️ CTF-соревнования от Кодебай Наши специалисты подготовили уникальную площадку для соревнований по практической информационной безопасности – KubanCTF-2024, в которой приняли участие команды студентов и школьников со всей России. На этой площадке в августе прошел отборочный этап, а в этом октябре более 20 команд сражались за призовые места!

🗣️ "Это была отличная возможность для молодых специалистов испытать свои силы и получить ценный опыт в решении реальных задач кибербезопасности." — Магомед-Эми, создатель CTF-заданий для KubanCTF 2024

🎉 Розыгрыш призов на стенде Кодебай Наш стенд стал одним из самых популярных мест на конференции! Каждый мог поучаствовать в розыгрыше призов — от фирменного мерча до скидок на курсы Академии и годовой подписки на codeby.games. А случайно выбранный счастливчик выиграл главный приз — наушники AirPods Max. Поздравляем победителя и благодарим всех, кто присоединился к нашему розыгрышу!

🗣️ "Мы — те самые ребята, которые взламывают ваши компании и дают рекомендации как закрыть уязвимости." — Сергей Попов, генеральный директор и основатель "Кодебай"

 💯 Кодебай — лидер в области образования в кибербезопасности Мы гордимся тем, что можем делиться опытом и знаниями с молодыми специалистами и профессионалами отрасли. Наше сообщество охватывает все направления информационной безопасности, помогая каждому открыть для себя мир кибербезопасности. KubanCSC – это большой шаг вперед в развитии отечественных специалистов, и мы благодарны всем, кто стал частью этого важного события. Спасибо, что были с нами на этом значимом мероприятии! До новых встреч!

Прими участие в «Хакатоне по кибериммунной разработке 3.0» от «Лаборатории Касперского» с призовым фондом 1 000 000 рублей! Регистрация на хакатон открыта до 15 ноября Приглашаем разработчиков, аналитиков, архитекторов ПО, экспертов по информационной безопасности и студентов программирования и кибербезопасности. Участвуй индивидуально или в команде до 5 человек. Тебе предстоит разработать систему удалённого управления автомобилем для каршеринга, устойчивую к кибератакам. Специальных знаний в автомобильной отрасли не требуется — задача будет понятна всем, независимо от опыта. Это твой шанс прокачать навыки в кибербезопасности и пообщаться с экспертами «Лаборатории Касперского». Ключевые даты: • 15 октября – 15 ноября – регистрация участников • 8 ноября – митап с экспертами и игра «Огнеборец» • 15 ноября – старт хакатона • 17 ноября – дедлайн загрузки решений • 22 ноября – подведение итогов и объявление победителей Регистрируйся, прояви себя и внеси вклад в безопасность каршеринговых сервисов

✔️ Вышла новая статья рубрики "Без про-v-ода"! Сегодня мы тестируем три популярных прошивки для платы ESP8266: ESP8266-EvilTwin, ESP8266-Captive-Portal и PhiSiFi. Если вы уже пробовали deauther, пришло время познакомиться с другими прошивками, каждая из которых предлагает уникальные возможности. ⚙️ PhiSiFi объединяет функционал Evil-Twin и Captive-Portal, создавая поддельные точки доступа для захвата паролей и отключения пользователей от сети. Простой интерфейс и удобный Captive Portal делают её идеальной для тестирования беспроводной безопасности. 📎 EvilTwin и Captive-Portal тоже отлично работают, но уступают по функционалу и удобству. EvilTwin предлагает самописный интерфейс для создания фейковых точек доступа, а Captive-Portal больше подходит для развлечения и демонстрации захвата данных. ✔️ Читать подробнее

В третьей статье цикла обсудим архитектуру объектов USER и GDI, которые отвечают за графику и интерфейс Windows. Например, объект типа *Window* включает почти все элементы окна — кнопки, поля ввода, списки и чекбоксы, а GDI добавляет обрамление, фигуры, цвет и шрифты. ⚙️Память и пулы Windows Вся физическая память распределяется через системный диспетчер. Он выделяет большие объёмы через VirtualAlloc() и мелкие через HeapAlloc(), которые на уровне ядра обращаются к NtAllocateVirtualMemory() и RtlAllocateHeap(). Память делится на Paged Pool (может выгружаться на диск) и NonPaged Pool (всегда в ОЗУ). При старте создаётся несколько базовых пула для каждого пользователя в своей сессии, а также для всех системных служб. Это помогает системно управлять памятью и разграничивать процессы. ⚙️USER и GDI: Память и объектная таблица 🔸 USER-объекты (интерфейсные элементы) хранятся в куче рабочего стола. 🔸 GDI-объекты (графические примитивы) получают память из NonPagedSessionPool. Объекты GDI привязаны к контексту создающего их процесса. Например, передача кисти из одного процесса в другой с высокой вероятностью может привести к сбоям. Дескрипторы объектов управляются глобальной таблицей в каждой сессии и индексируются в фиксированной таблице с лимитом в 65,536 объектов. Например, GDIProcessHandleQuota в реестре ограничивает доступный для процесса лимит (по умолчанию — 10,000 дескрипторов). ⚙️Объекты USER USER-объекты индексируются в таблице дескрипторов каждой сессии, которая отображается в пользовательском пространстве каждого GUI-процесса. Указатель на таблицу USER хранится в win32k!gSharedInfo, и её записи отображаются через массив HANDLEENTRY, предоставляя быстрый доступ процессам без необходимости в вызовах ядра.

🗣️ GDI и USER объекты — основа графической подсистемы Windows, которая позволяет управлять интерфейсом и графикой на уровне ядра.

➡️ Читать подробнее

🎯Как защититься от сложных и целевых атак с учетом дефицита высококлассных кадров? Усильте ИБ-отдел мощным союзником. Только представьте - умная и современная защита станет вашей страховкой в тот самый момент, когда сыграет человеческий фактор. Платформа Kaspersky Anti Targeted Attack совместно с Kaspersky EDR Expert представляет собой решение класса XDR нативного типа. Для вас это означает: - Автоматический сбор и хранение данных - Всесторонний анализ и своевременное обнаружение - Расширенные возможности защиты от сложнейших угроз - Но лучше 1 раз увидеть, чем 100 раз услышать, верно? 👌 Запишитесь на бесплатную демонстрацию и оцените, как легко можно усилить вашу защиту без привлечения дополнительных ресурсов и специалистов Реклама. ООО "КРАЙОН". ИНН 9717087315. erid: LjN8JsutK

Согласно новому отчёту Email Threat Trends Report от Vipre Security Group, мошеннические атаки с использованием деловой переписки (BEC) составляют более половины всех фишинговых попыток, и производственные компании оказались особенно уязвимыми. Основные данные отчёта 🔸 Из 1,8 миллиарда обработанных за квартал писем, 12% были классифицированы как вредоносные, а на BEC пришлось 58% всех фишинговых атак. 🔸 В 89% случаев атакующие выдавали себя за авторитетных лиц, чтобы вызвать доверие. 🔸 Производственный сектор оказался наиболее подверженным угрозам: 27% всех обработанных писем в этой отрасли оказались вредоносными. ⚙️ Рост атак на производственный сектор На производственные компании стали чаще нацеливаться из-за возможности перенаправления платежей поставщиков на мошеннические счета. Кроме того, взлом корпоративных почтовых ящиков даёт доступ к другим компаниям и клиентам, позволяя отправлять поддельные запросы на документы для кражи учетных данных. ❓ Почему риск возрастает? Многие сотрудники в секторе производства используют мобильные устройства для входа на рабочие площадки, что повышает вероятность попадания на фишинговые ссылки в условиях высокой занятости и стремления к соблюдению сроков. 🛡 ИИ в службе BEC-мошенничества Отчёт отмечает, что 36% фишинговых писем с использованием BEC были созданы генеративным ИИ, что делает их более сложными для выявления. Злоумышленники также часто используют вложения и URL-перенаправления для обхода систем безопасности. #новости #фишинг

🔔 Вторая часть серии статей о ядре Windows посвящена исследованию подсистемы Win32 и драйвера поддержки win32k.sys, рассматриваются переходы из пользовательского режима в режим ядра через таблицу системных сервисов SSDT.

🗣️ Статья включает практические примеры в отладчике WinDbg, так что знания можно сразу применить на практике. Рекомендуется к прочтению после первой части.

Подсистема Win32 в архитектуре Windows 🔸В Windows виртуальная память делится на область пользователя (User) и ядра (Kernel). На системах x64 используется только часть адресного пространства. Старшие 16 бит установлены в единицу, что позволяет по старшим битам адреса сразу определять, принадлежит ли объект ядру или пользователю. 🔸Win32, основная подсистема Windows, предоставляет базовые библиотеки окружения, такие как Kernel32, User32 и Gdi32, отвечающие за интерфейсы графики (GUI). Отдельное внимание уделено драйверу win32k.sys, который поддерживает работу графического интерфейса в ядре. Файлы Csrss.exe, Gdi32.dll и Win32k.sys 🔸GDI (Graphics Device Interface) — это компонент для вывода графического контента на устройства. До NT4 он находился в пользовательском режиме, но в целях безопасности его перенесли в режим ядра, добавив win32k.sys. Теперь CSRSS (Client/Server Runtime SubSystem) обрабатывает только консольные задачи, а графика передана win32k.sys. SSDT — System Service Descriptor Table 🔸SSDT позволяет выполнять системные вызовы в ядре с использованием SYSENTER/SYSCALL инструкций. Для каждой функции ядра есть уникальный "System Service Number" (SSN), который задает ее адрес в SSDT. Это обеспечивает быстрый и эффективный переход между режимами. 🔸Для графических функций существует отдельная "затененная" таблица — SSDT Shadow. Она действует только для GUI-приложений, тогда как консольные приложения используют основную таблицу SSDT#0.

⚙️ В статье приводится демонстрация работы SSDT и SSDT Shadow в отладчике WinDbg. Указатели на обе таблицы можно обнаружить, подключившись к процессу GUI.

➡️ Читать подробнее