اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
RedBlue Notes
رفتن به کانال در Telegram
Мы делимся секретами атак и методами защиты, даем практические советы. Если вы хотите узнать, как защищать свои системы от угроз или понять логику злоумышленников, присоединяйтесь к нам! Здесь каждый найдет что-то полезное, независимо от стороны баррикад!
نمایش بیشتر566
مشترکین
اطلاعاتی وجود ندارد24 ساعت
-17 روز
+2830 روز
در حال بارگیری داده...
کانالهای مشابه
هیچ دادهای
مشکلی وجود دارد؟ لطفاً صفحه را تازه کنید یا با مدیر پشتیبانی ما تماس بگیرید.
ابر برچسبها
اشارات ورودی و خروجی
---
---
---
---
---
---
جذب مشترکین
ژوئن '26
ژوئن '26
+1
در 0 کانالها
مه '26
+63
در 0 کانالها
Get PRO
آوریل '26
+62
در 1 کانالها
Get PRO
مارس '26
+50
در 0 کانالها
Get PRO
فوریه '26
+21
در 2 کانالها
Get PRO
ژانویه '26
+10
در 0 کانالها
Get PRO
دسامبر '25
+35
در 1 کانالها
Get PRO
نوامبر '25
+20
در 2 کانالها
Get PRO
اکتبر '25
+20
در 1 کانالها
Get PRO
سپتامبر '25
+17
در 1 کانالها
Get PRO
اوت '25
+92
در 3 کانالها
Get PRO
ژوئیه '25
+3
در 0 کانالها
Get PRO
ژوئن '25
+5
در 0 کانالها
Get PRO
مه '25
+34
در 0 کانالها
Get PRO
آوریل '25
+2
در 0 کانالها
Get PRO
مارس '25
+38
در 1 کانالها
Get PRO
فوریه '25
+180
در 0 کانالها
Get PRO
ژانویه '250
در 0 کانالها
Get PRO
دسامبر '240
در 0 کانالها
Get PRO
نوامبر '24
+112
در 1 کانالها
| تاریخ | رشد مشترکین | اشارات | کانالها | |
| 10 ژوئن | 0 | |||
| 09 ژوئن | +1 | |||
| 08 ژوئن | 0 | |||
| 07 ژوئن | 0 | |||
| 06 ژوئن | 0 | |||
| 05 ژوئن | 0 | |||
| 04 ژوئن | 0 | |||
| 03 ژوئن | 0 | |||
| 02 ژوئن | 0 | |||
| 01 ژوئن | 0 |
پستهای کانال
Интересные туннели, которые всё чаще появляются в отчётах
В последнее время всё чаще стал замечать в отчётах по пентестам, подломам новые инструменты для туннелирования. Если раньше почти везде встречались Chisel, FRP, Ligolo-NG и другие известные решения, то сейчас появляются совсем другие проекты.
Самое интересное, что многие из них изначально создавались вовсе не для пентестеров. Это полноценные платформы для удалённого доступа, Zero Trust и построения mesh-сетей.
OpenZiti -> ZeroTrust круто 🧛
Если коротко — это попытка переосмыслить саму концепцию удалённого доступа.
Вместо публикации сервисов во внутренней сети OpenZiti строит оверлейную инфраструктуру, где доступ определяется не IP-адресами, а идентичностью клиента.
Но именно такие инструменты становятся всё интереснее для Red Team. Получив доступ к хосту, оператор может встроить его в собственную оверлейную сеть, которая практически не похожа на классический туннель.
NetBird 💃
Автоматически строит mesh-сеть между узлами и избавляет оператора от значительной части ручной настройки маршрутов и связности.
Если старые инструменты решали задачу доступа из точки А в точку Б, то здесь подход ближе к концепции "подключил узел и он стал частью сети".
Именно поэтому подобные решения всё чаще появляются в отчетах.
Чем меньше ручной настройки требуется оператору, тем быстрее развивается атака после первоначального компрометации.
Что это означает для Blue Team? 🍞
Это отражает общий тренд, что злоумышленники стараются максимально сливаться с инфраструктурой компании, используя повседневные утилиты и сервисы, чтобы как можно дольше оставаться незамеченными и выглядеть как обычные сотрудники. Без хитрых утилит и специального софта.
На Подумать 🧐
В целом это не история про OpenZiti, NetBird или какой-то конкретный инструмент. Уже несколько лет в ИБ наблюдается устойчивый тренд, что злоумышленники всё чаще отказываются от специализированного инструментария в пользу легитимных решений, которые уже используются в инфраструктуре компании. Такой подход позволяет им сливаться с обычной активностью пользователей и администраторов, дольше оставаться незамеченными и усложнять работу SOC и DFIR-команд. И это не удел АРТ группировок, а уже практически всех, Velociraptor тому пример.
| 2 |  Атака на цепочку поставок: как один npm роняет полмира
Окей, представьте сценарий мечты для злоумышленника. Он не ломает периметр жертвы. Он вообще к нему не прикасается. Он просто отравляет то, что жертва сама скачает и запустит у себя в проде. Налил яд в источник, а дальше тысячи разработчиков выстроились в очередь попить.Это и есть атака на цепочку поставок (supply chain attack). И в 2025–2026 она переехала из отчётов про APT-группировки в категорию «обычный вторник».
Суть на пальцах ☝️
Supply chain переворачивает доску. Зачем ломать тысячу компаний поштучно, если можно скомпрометировать одно звено, которому все эти компании доверяют: библиотеку, обновление, CI/CD-пайплайн. Дальше работает гравитация экосистемы, жертвы сами притянут вредонос через npm install или автообновление. Доверие и есть вектор атаки. Красиво, если смотреть со стороны атакующего.
Почему open-source — это праздник для атакующего 🧛
Современное приложение — это 5% своего кода и 95% чужого. Ставишь один фреймворк, он тянет 40 пакетов, каждый тянет ещё. В node_modules вырастает небоскрёб из сотен библиотек, которые никто не видел и проверять не собирался. Утилитка для раскраски текста в консоли может оказаться несущей стеной половины индустрии.
Математика атакующего проста: отрави один популярный пакет, получи доступ к тысячам приложений ниже по течению. Прилетит даже тем, кто этот пакет в глаза не видел.
Разбор полётов: атака на chalk и debug 🤹
8 сентября 2025 года. Учебник, который стоит разобрать по шагам.
Шаг 1, подготовка. За три дня до атаки регистрируется домен npmjs.help. Выглядит как родной npm. Но это не он.
Шаг 2, фишинг. Мейнтейнеру пачки популярных пакетов прилетает убедительное письмо с адреса support@npmjs.help, мол, срочно сбрось 2FA. Человек вводит логин, пароль и живой TOTP-код. Аккаунт угнан. Всё.
Шаг 3, спидран. Примерно через 16 минут после захвата аккаунта публикуются вредоносные версии 18 пакетов: chalk, debug, ansi-styles, strip-ansi и компания. Суммарно около 2 млрд загрузок в неделю. Шестнадцать минут. Люди дольше кофе варят.
Шаг 4, полезная нагрузка. Внутри обфусцированный JS-стилер. Он перехватывал браузерные API (fetch, XMLHttpRequest) и крипто-кошельки (window.ethereum, Solana), молча подменяя адреса получателей в транзакциях. Юзер видит «нормальную» транзакцию, а деньги едут к атакующему.
И вишенка: спалил атаку сам вредонос. Он дёргал браузерный fetch(), которого в Node.js нет, и серверные сборки начали падать с ошибкой ReferenceError: fetch is not defined. Пейлоад стал лучшим индикатором компрометации.
Откуда хайп: эпоха червей 🔫
Хайп раздули не стилеры, а самораспространяющиеся черви. Червь Shai-Hulud угонял токены публикации и заражал ими новые пакеты от имени новых жертв. Цепная реакция: 500+ пакетов в первой волне.
И понеслось: Shai-Hulud 2.0, «Mini Shai-Hulud». 11 мая 2026 года группировка TeamPCP за шесть минут опубликовала 84 вредоносные версии 42 пакетов @tanstack, кампания расползлась на Mistral AI, UiPath, OpenSearch и PyPI. Новые варианты обзавелись демоном, который при отзыве токена пытается снести домашнюю директорию через rm -rf. Темп такой, что список заражённых пакетов устаревает, пока его дочитываешь.
Как защититься 🍩
🔒 Зафиксируйте версии. Lockfile с хэшами. Кто запиннил зависимости, тот очередную волну проспал, в хорошем смысле.
⏳ Cooldown. Не тащите версию младше нескольких дней. Вредонос обычно отзывают за часы.
🚫 Выключите install-скрипты в CI. npm ci --ignore-scripts. Большинство пейлоадов исполняется в preinstall/postinstall.
📋 Заведите SBOM. На новость «заражён пакет X» ответ «есть ли он у нас» должен искаться минуты, а не дни.
🔑 Защитите publish-токены. Аппаратные ключи вместо SMS, trusted publishing через OIDC, ротация секретов.
🤖 Сканируйте зависимости. SCA в пайплайне плюс baseline.
🧯 План реагирования заранее. Изолированный билд-агент, процедура массовой ротации, ответственный.
Подписывайтесь на канал, дальше больше! | 157 |
| 3 | Шок, жесть блин! Вышел! Новый СПЕЦвыпуск!
❗️ Осторожно: в выпуске присутствует ненормативная лексика!
Это немного личный для нас выпуск. Позвали одного из лучших преподавателей, который нас когда-либо обучал, и поговорили о том, что обычно остаётся за кадром: как превратить диплом в стартап и реально получить за него деньги, как не выгорать, существует ли синдром самозванца на самом деле и что такое геймификация и как она влияет на нас.
Выпуск особенно зайдёт молодым студентам. Тем, кто прямо сейчас грызёт учёбу и думает, что со всем этим делать дальше.
А куда мы пропали?
Заленились, честно. Дни рождения, праздники, очень захотелось отдохнуть душой и телом. Так что считайте, мы вернулись в строй! 💪
Наши подкасты можно послушать тут:
🟢Звук
🟢Spotify
🟣Apple Music
🔵Web
🟡Index
А и да, мы в ВК
Подписывайтесь на канал, дальше больше! | 587 |
| 4 | 🧛 ШОК! ЖЕСТЬ! БЛИН! ОПЯТЬ! 🧛
Букв становится всё больше, охваты растут 😛
Чтобы интернет нас точно не потерял, мы на всякий случай завели Habr. И да, это случилось: наша первая статья уже там!
Залетайте, читайте, ставьте реакции, всё как мы любим:
https://habr.com/ru/articles/1029470/
Спасибо нашим любимым папищикам, кто предложил нам пойти на хабр ❤️ | 374 |
| 5 |  بدون متن... | 0 |
| 6 | 🧛 ШОК! ЖЕСТЬ! БЛИН! 🧛
А вот и туториал по анализу защищённости веб-приложений.
Как обычно букв много, своего рода обзорная экскурсия по тому, что в какой момент тыкать, чтобы было больше понимания, что вообще происходит на каждом этапе.
Не просто "манки джоб" с тыканьем скриптиков по очереди, а с пониманием, почему сейчас надо крутануть анализатор шаблонизаторов на JSP-странице, а не в сотый раз искать Log4Shell там, где его быть не может.
Всё описанное применяется только на системах, где у тебя есть письменное разрешение на тестирование. Bug Bounty программы, лаборатории вроде HackTheBox и PortSwigger Web Security Academy, собственные стенды. Всё остальное это уже не пентест, а УК РФ, осторожнее 😇
Подписывайтесь на канал | 0 |
| 7 |  Дропнем на днях, возможно, на Хабре. | 0 |
| 8 | Че покажу
один из лучших источников по безопасности цепочки поставок ПО
Socket - это компания, которая специализируется на защите open source зависимостей. Их продукт сканирует npm, PyPI, cargo, NuGet, Go-модули, Chrome-расширения и другие экосистемы на наличие вредоносного кода ещё до того, как он попадёт в вашу инфраструктуру.
Самое полезное для безопасника, их блог.
Ресёрчи выходят нечасто, зато каждый представляет собой реальное расследование с IOC'ами, TTPs и техническими деталями: компрометации SDK через supply chain, npm-черви угоняющие CI/CD, вредоносные VS Code расширения с C2 через блокчейн, RAT.
Это именно тот формат, где можно сесть и сделать нормальную и качественную ретру по своей инфре: проверить зависимости, поднять вопросы к DevOps, пересмотреть политики CI/CD. Материал конкретный, применимый и напрямую ложится в Threat Hunting, особенно если вы работаете с open source стеком или у вас есть разработка внутри.
Из актуального:
108 расширений Chrome связаны с утечкой данных
Атака на цепочку поставок Axios
https://socket.dev/blog
Подписывайтесь на канал | 0 |
| 9 | Мануалчик от нас по взлому веба интересует? | 0 |
| 10 | Опять буквы не влезают, ну дела | 0 |
| 11 |  Windows Defender изнутри: как работает AMSI и почему его обходят за три строки кода
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону
Как-то вечером мне было скучно, и я начал играться со своим Defender, чтобы это не значило.
Если совсем просто AMSI - это как рамка металлодетектора, только для кода. Раньше антивирус смотрел только на файлы на диске. Но хакеры быстро сообразили, что можно не писать ничего на диск вообще, а просто запустить скрипт прямо в памяти через PowerShell. Антивирус такое не видел и молчал.
AMSI (Antimalware Scan Interface) появился в Windows 10 как ответ на волну атак через PowerShell. До него скрипты выполнялись вслепую, а антивирус видел файл на диске, но не то, что реально крутилось в памяти.
Как устроена цепочка
При запуске PowerShell, JScript или VBScript Windows автоматически загружает amsi.dll в процесс. Каждый блок кода перед исполнением прогоняется через функцию AmsiScanBuffer(). Провайдер - Defender или сторонний AV получает содержимое, сканирует и возвращает вердикт. Результат AMSI_RESULT_DETECTED блокирует выполнение.
Звучит надёжно. Но есть один нюанс, который ломает всю идею.
Фундаментальная проблема архитектуры
AMSI работает в контексте того же процесса, который хочет выполнить код. Атакующий уже внутри PowerShell и имеет ровно те же права, что и сам процесс. Вот такое архитектурное решение, у которого есть цена.
Патч AmsiScanBuffer: классика жанра
В памяти процесса находят адрес функции и перезаписывают первые байты так, чтобы она мгновенно возвращала 1 (AMSI_RESULT_CLEAN). После этого весь последующий код исполняется без единой проверки:
[Byte[]] $patch = 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3
$ptr = [Win32]::GetProcAddress($amsi, "AmsiScanBuffer")
[Marshal]::Copy($patch, 0, $ptr, 6)
Три строки и Defender слепой до конца сессии.
Форсирование ошибки инициализации
Если передать в AmsiScanBuffer невалидный контекст, функция вернёт ошибку. PowerShell трактует ошибку инициализации как "всё чисто" и продолжает выполнение. Этот метод работал годами вплоть до патчей 2023 года, без единой строки шеллкода.
Обфускация против сигнатур
AMSI во многом опирается на строковые сигнатуры. Разбить детектируемую строку на части и собрать в рантайме уже обход:
$a = "Invoke-Mi" + "mikatz"
Примитивно, но работает против базовых правил. Продвинутые техники используют XOR-кодирование, Base64 с динамической сборкой или подстановку через символьные таблицы.
BYOVD, когда всё остальное закрыто
Если EDR блокирует патчинг пространства пользователя, атакующие уходят глубже. Загружается уязвимый легитимный драйвер (Bring Your Own Vulnerable Driver) и защита отключается прямо из кольца 0. Против этого AMSI бессилен по определению. Он просто не существует на том уровне.
Что реально повышает стоимость атаки
Constrained Language Mode в PowerShell закрывает доступ к .NET-рефлексии и большинство патчей просто не запустятся. ScriptBlock Logging пишет каждый блок кода до исполнения, даже обфусцированный. ETW фиксирует вызовы на уровне провайдера. Сам факт обращения к amsi.dll через WriteProcessMemory прекрасно видно в нормальном EDR.
AMSI не провалился. Он делает ровно то, для чего создан, он поднимает стоимость атаки и убивает ленивые скрипты с первого слоя. Но пока защита живёт в том же процессе, что и угроза, игра в кошки-мышки не заканчивается.
И ЧТО?
AMSI скорее уверенная заплатка, чем серебряная пуля. Она отлично справляется с ленивыми скриптами, которые кто-то скопировал с первой страницы Google и запустил не думая. Именно такого добра в дикой природе большинство, и именно здесь AMSI реально спасает.
Если бы этого механизма не существовало, Blue Team плакал бы заметно чаще. Каждый школьник с PowerShell и готовым пейлоадом превращался бы в проблему на несколько часов разбора.
Но питать иллюзий не стоит. Путей обхода AMSI задокументировано столь | 0 |
| 12 | Всех рано или поздно ловят, и вот история, подтверждающая это ✅✅ | 0 |
| 13 | Спасибо, что читаете нас, слушаете, пишите, лайкаете, репостите, лучшая поддержка для нас это ваш фидбек, эмоции и ваше развитие! 💓
Надеюсь, наши посты полезны для многих из вас!
Вместе сила 🔛 | 0 |
| 14 | sticker.webp | 0 |
| 15 | ГОООЛ! | 0 |
| 16 |  Вы удалили приложение. Оно вас нет. 🤹
Устали от букв, которые не влезают в Телеграм?
Мы тоже.
Решили немного сменить обстановку, отвлечься от этичного хакинга и инструментов.
Истории необычные, заставляют задуматься 🧐
Нажать «Удалить» и почувствовать, что всё чисто, один из самых живучих мифов цифровой эпохи. За последние годы произошло несколько скандалов, которые доказали раз и навсегда, что удаление значка с экрана и удаление данных о вас это разные вещи. 😭
SNAPLION: «КЛЮЧИ ОТ КОРОЛЕВСТВА» 🧛
В 2019 году Motherboard (Vice) опубликовало расследование о внутреннем инструменте Snap под названием SnapLion. Он давал сотрудникам доступ к геолокации, сохранённым Snaps (тем самым «исчезающим» фото), номерам телефонов и метаданным переписки. Несколько сотрудников использовали его не по назначению. Один из них назвал инструмент прямо: «ключи от королевства».
UBER «GOD VIEW»: ОНИ ВИДЕЛИ ВАС 👀
Пока вы ехали в такси, сотрудники Uber наблюдали за вами в реальном времени. В 2014 году выяснилось, что инструмент «God View» использовался совсем не операционно. Журналистку Buzzfeed отслеживали во время поездки без её ведома, в историях фигурировали знаменитости и политики. Uber переименовал инструмент. Данные никуда не делись.
Это вполне ожидаемо, большинство сервисов, занимающихся трекингом, используют подобные инструменты.
FACEBOOK: МАСТЕР-ПАРОЛЬ И ИНЖЕНЕР-СТАЛКЕР 🗽
В ранние годы Facebook существовал мастер-пароль «ChuK N0rris», который позволял войти в любой аккаунт. Позже от него отказались, но в 2018 году инженер по безопасности был уволен за слежку за женщинами через привилегированный доступ к данным пользователей.
SILENT PUSH: СЛЕЖКА ПОСЛЕ УДАЛЕНИЯ 😑
Компании продают разработчикам услугу uninstall tracking. Сервер шлёт тихое уведомление. Телефон не ответил, значит приложение удалено, профиль обновлён, ретаргетинг запущен. Реклама удалённого приложения начинает догонять вас в других местах. Среди клиентов T-Mobile, Spotify, Yelp. Это легально и нигде не объясняется человеческим языком.
ЧТО ОСТАЁТСЯ 😕
Папки с данными на Android, iCloud на iOS, реестр и %AppData% на Windows всё это переживает удаление. OAuth-токены к почте и контактам живут до ручного отзыва. Рекламный ID (GAID / IDFA) не сбрасывается. Те же артефакты в форензике помогают находить следы малварных приложений: ключи шифрования, адреса C2-серверов, даже после того, как сама малварь удалена.
КАК ЗАЧИСТИТЬ 🔫
На Android очистите кэш до удаления, удалите /sdcard/Android/data/[пакет]/, отзовите OAuth в аккаунте Google, сбросьте рекламный ID. Инструменты: SD Maid 2/SE, Exodus Privacy, NetGuard.
На iOS отзовите разрешения в разделе Конфиденциальность, удалите доступ на appleid.apple.com, отключите iCloud-синхронизацию. Инструмент: iMazing.
На Windows удалите папки в %localappdata% и %appdata%, почистите реестр через regedit. Инструменты: Revo Uninstaller, BCUninstaller, O&O ShutUp10++, Wireshark.
Пу-пу-пу 🍞
Подобные инструменты есть у каждой компании, у которой есть ваши данные от Яндекса до Google. Это не конспирология, это операционная реальность. Вопрос не в том, существуют ли они. Вопрос в том, когда это выйдет наружу, при каких обстоятельствах и что окажется в открытом доступе к тому моменту.
Подписывайтесь на канал | 0 |
| 17 | sticker.webp | 0 |
| 18 |  Друзья, я в последнее время всё чаще ловлю себя на мысли, что стало действительно сложно отличать достоверный контент от манипуляций, слопа, псиопа и откровенной лжи 🧐
Проверяйте всё, что читаете. Дважды, а лучше трижды. Даже авторитетные источники порой грешат искажением фактов ради просмотров и хайпа, никто не застрахован от предвзятости или корыстного интереса.
Критическое мышление сегодня - необходимый навык.
Особенно сегодня 1 апреля, отличить шутку от правды стало практически невозможно 🙂 | 0 |
| 19 | А я ведь шутил, что в телеге буквы бесплатные но их мало 🙂
https://www.cnews.ru/news/top/2026-03-31_rossiyan_zastavyat_platit | 0 |
| 20 | 🚨Белый список по ИБ 😅
Рекомендую! 👽👽
Репост приветствуется
#list #ethical
✈️ Telegram 💬 MAX | 0 |
