fa
Feedback
REDtalk

REDtalk

رفتن به کانال در Telegram

Здесь вы найдете всё из мира ИБ. Говорим простыми словами о сложном. С нами кибербезопасность – ваш компаньон в цифровом мире. Вместе к безопасному будущему! 🌐🔐

نمایش بیشتر
1 137
مشترکین
+124 ساعت
+97 روز
+1930 روز
آرشیو پست ها
REDtalk
1 137
☀️ Привет! На днях ко мне в руки прямо от создателей попал экземпляр книги "На*уй безопасность. Как игнорировать этот бред и
+2
☀️ Привет! На днях ко мне в руки прямо от создателей попал экземпляр книги "На*уй безопасность. Как игнорировать этот бред и нормально зарелизить проект". Авторы буквально из мема своими силами написали уже второе издание (а третье находится в разработке). Книга представляет собой саркастичный взгляд на информационную безопасность, показывает ситуации применения ИБ-практик в разработке продуктов, с "тру" кейсами, мемами и шутками. Авторами книги являются мой коллега по цеху George.K и канал Ever Secure. Спасибо за этот неоценимый вклад в РУ ИБ К сожалению, весь тираж уже раскуплен, но в августе возможно пополнение. Приобрести можно будет тут Рекомендую к ознакомлению ⌨️ #meme #book

REDtalk
1 137
🏖️ Привет! Как и обещал постом ранее — приехала новая часть про антивирусы. В ней будет подробно показана устройство meterpreter и что с ним происходит в результате генерации нагрузки через msfvenom. Пост получился объемный, я постарался как можно понятее показать сложные и неочевидные моменты. Покажу, как без внучную скомпилировать, собрать и запустить нагрузку, на какие основные IOCи триггерятся антивирусы, пропатчу их в этой нагрузке и попробую запустить (точнее уже запустил на гифке 🤩). В идеале должно появится понимание работы msfvenom, чтобы в дальнейшем не представлять генерацию нагрузок в виде "черного ящика". Приятного чтения! 🔗 Читать #redteam

REDtalk
1 137
☀️ Привет! Всем лета У меня на финальном этапе находится большой пост следующей части про антивирусы. А пока покажу один из способов добавления временных задержек, но без использования системных функций (Sleep в winapi и sleep в linux). Этот 🔗 PoC динамически считает количество итераций, выполняемых за одну секунду, что позволяет указывать временной интервал задержки, независимо от характеристик CPU (это показано в гифке) Это полезно, когда нужно добавить задержку без использования Sleep, а также при обходе песочниц, которые могут манипулировать системными функциями.

REDtalk
1 137
<продолжение> 🔥Проблема 3. Outlook и картинки Письмо уходит, всё работает. Верстаем шаблон, отправляем и…
❗ Для защиты вашей конфиденциальности изображения не загружены
Наши картинки не отображаются. Почему? Outlook по умолчанию блокирует все внешние изображения. 💡Что делаем: Первое, что можно попробовать - Base64:
<img src="data:image/png;base64,iVBORw...">
Способ хороший и отработает на большинстве современных почтовых клиентах. Однако Outlook все равно посчитает это внешним ресурсом и заблокирует. Второй способ - Content-ID (CID). Картинку прикладываем к письму как вложение, а в HTML пишем:
<img src="cid:image.jpg">
⸻ На этом все друзья! 🙂 А с какими проблемами сталкивались вы ? Делитесь в комментариях, обсудим вместе. 🤗 Ну и по традиции не забудьте подписаться на канал, если еще этого не сделали. И до новых встреч! #redteam

REDtalk
1 137
Всем привет! ❤️ Немного про социалочку. Когда проводишь проекты по социотехническому тестированию, нередко сталкиваешься с кучей технических нюансов. ❗️Это и попадание в списки подозрительных ресурсов, если вы случайно выкинули GoPhish наружу. ❗️И фильтрация писем почтовыми шлюзами. ❗️И особенности отображения у разных почтовых клиентов. Сегодня поговорим о том, с чем реально можно сталкнуться на практике. Особенно это актуально, если вы делаете такое впервые. 🔥Проблема 1. Как не попасть в списки злых хацкеров Если просто открыть GoPhish в интернет, то через какое-то время ваш IP будет помечен как подозрительный. 💡Что делаем: Используем связку из нескольких Nginx-прокси: • наружу отдаётся только IP внешнего прокси; • весь трафик уходит по VPN на внутренний сервер с GoPhish; • админка доступна только из VPN. Если не хочется поднимать VPN: На сервере с GoPhish закрываем 443 порт снаружи, кроме ip нашего прокси:

sudo iptables -I DOCKER-USER -p tcp --dport 443 ! -s <proxy_ip> -j DROP
В конфиге Nginx дополнительно прописываем кому можно обращаться к нашей фишинговой странице:

allow <proxy_ip>;
deny all;
Админку вешаем на 127.0.0.1 и подключаемся так:
ssh -L 8080:127.0.0.1:8080 user@server_with_gophish
Остается только настроить SSL для нашего фишингового домена. Теперь GoPhish не светится наружу, и мы спим спокойно. 🔥Проблема 2. Спам-фильтры и почтовые шлюзы Немного теории:SPF — указывает, какие IP могут отправлять письма от имени домена. • DKIM — добавляет цифровую подпись к письмам. • DMARC — объединяет SPF и DKIM, говорит, что делать с письмами, которые не проходят проверки. Если вы некорректно настроите данные dns записи, то письма просто не дойдут до адресата. 💡Что делаем: Используем SMTP-сервисы с хорошей репутацией. Например, VK WorkSpace. Схема такая: • Подключаем фишинговый домен; • Сервис формирует SPF/DKIM/DMARC; • Копируем записи в DNS. Теперь письма проходят по всем стандартам (но это не точно). Но даже если всё идеально настроено, то ваши фишинговые письма могут быть заблокированы на почтовых шлюзах. Причина - Email-заголовки. Далее рассмотрим на примере с GoPhish: Еще немного теории. Сильно не пинайте - это важно для понимания: • Message-ID - уникальный идентификатор письма, формируется клиентом или сервером, помогает отслеживать сообщения и выстраивать цепочки переписки. • X-Mailer - указывает на почтовую платформу или внутренний ID отправителя. Именно они могут стать причиной того, что ваши фишинговы письма не дойдут до цели.

X-Mailer: gophish
Message-ID: <1743...@hostname>
X-Mailer палит GoPhish сразу. Message-ID генерируется с hostname контейнера или вашего сервера на котором крутиться GoPhish. Почтовые шлюзы могут блокировать письма, если видят несоответствие между Message-ID и доменами из SPF, DKIM, DMARC. 💡Что делаем: SMTP Relay с Postfix. GoPhish остаётся «тупым». Он просто отправляет письмо. А контейнер с Postfix: 1. Принимает письмо; 2. Переписывает заголовки; 3. Отправляет дальше на сторонний SMTP - сервис (в нашем случае VK Workspace) Файл smtp_header_checks:


/^Message-ID:/ REPLACE Message-ID: <CAFEBABE.20250324T1830@your_domain>
PS: X-Mailer можно убрать и через GUI GoPhish. А вот Message-ID просто так не убрать. Письма доходят, заголовки чистые. Все счастливы. #redteam

REDtalk
1 137
Привет, а я напоминаю, что это просто PoC, показывающий насколько просто скрыть малварь под легитимное приложение 🤥 https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/ https://xakep.ru/2025/06/19/stargazers-ghost-network-minecraft/

REDtalk
1 137
Доброе утро котята🐱 Берём кофейку, устраиваемся поудобнее — и пробегаемся по главным  ИБ-событиям недели 💻 🤖 Обход Secure Boot: CVE‑2025‑3052 — эксплойт от Binarly Исследователи Binarly обнаружили  способ обойти Secure Boot с помощью уязвимости повреждения памяти в модуле. Злоумышленники могут использовать эту уязвимость для запуска неподписанного кода во время процесса загрузки, обходя Secure Boot и нарушая цепочку доверия системы. Модуль читаeт NVRAM‑переменную IhisiParamBuffer и пишет данные до загрузки ОС, что позволяет сбросить флаг защиты и отключить Secure Boot ❤️‍🔥. 💣 Это включает запуск неподписанных драйверов и загрузку буткитов. Уязвимость была задокументирована, и Microsoft уже выпустила патч. 💻 CVE‑2025‑33053 — RCE в WebDAV: активно эксплуатируется! Microsoft  выпустил патч для серьезной уязвимости в реализации WebDAV в Windows — исправление вышло в рамках Patch Tuesday. 💻 Удалённый атакующий может заставить пользователя перейти по злонамеренной WebDAV-ссылке, после чего запускается код —  сценарий идеален: эксплойт требует только клик по URL . 📊 Оценка уязвимости  — CVSS 3.1 8.8. 🔗Ссылка на POC - 🔗🔗🔗 🔥 CVE‑2025‑33073 —  уязвимость SMB Client с возможностью повышения привилегий! В июньском исправлении Microsoft закрыла уязвимость в Windows SMB Client (клиентская часть протокола SMB), которая позволяет атакующему получить права на уровне SYSTEM, просто заставив систему подключиться к злонамеренному SMB-серверу 🌐 Подробнее о данной атаке можете прочитать перейдя по ссылке с предыдущего поста #news

REDtalk
1 137
В продолжение все той же темы CVE-2025-33073... https://www.synacktiv.com/publications/ntlm-reflection-is-dead-long-live-ntlm-reflection-an-in-depth-analysis-of-cve-2025 Еще один ресерч, на это раз от Synactiv. Вот только у них не LPE, а Auth RCE от имени SYSTEM (если подпись SMB на машине не требуется).
Even though CVE-2025-33073 is referred by Microsoft as an elevation of privilege, it is actually an authenticated remote command execution as SYSTEM on any machine which does not enforce SMB signing.
#rce #lpe #ad #relay #pentest #redteam

REDtalk
1 137
CVE-2025-33073: Reflective Kerberos Relay (LPE) Blog: https://blog.redteam-pentesting.de/2025/reflective-kerberos-relay-attack/ Patched: June 10, 2025 Интересная LPE с релеем на себя... Даже CVE есть) #lpe #ad #relay #pentest #redteam

REDtalk
1 137
🌞 Всем утречка! Подсвечиваем самые интересные события из мира ИБ за прошедшую неделю 🔐🧠💻 💥 Удалённое выполнение кода через Roundcube: критическая уязвимость CVE‑2025‑49113  (CVSS 9.9) Злоумышленник может выполнить код на сервере после входа в почтовый веб-интерфейс, передав специально сформированный параметр _from в upload.php. Проблема кроется в опасной PHP-десериализации внутри компонента rcube_washtml 🧠 Уязвимость требует аутентификации, но очень легко эксплуатируется — особенно при использовании фишинга или скомпрометированных учёток. Уже активно обсуждается на даркнет-форумах как часть RCE-цепочек. Под ударом Roundcube до версий 1.6.11 и 1.5.10. Патч вышел 1 июня 2025. Ссылка на POC: 🔗🔗🔗 🔥 Технические детали по CVE‑2025‑20188 (Cisco WLC) В скриптах OpenResty (Lua + Nginx) используется жёстко заданный JWT-секрет — строка "notfound", если отсутствует файл /tmp/nginx_jwt_key. Это позволяет злоумышленнику сгенерировать валидный токен и выполнять атаки, включая path traversal, загрузку произвольных файлов и изменение конфигураций. 📥 Например, при модификации скрипта pvp[.]sh, который отслеживает изменения, автоматически перезапускает службы и выполняет команды, можно добиться выполнения кода с правами root, получив полноценный shell-доступ. 📱Три критических 0-day уязвимости в Android/Qualcomm В июньском бюллетене Google и Qualcomm подтвердили активную эксплуатацию трёх уязвимостей в драйверах GPU Adreno: • CVE‑2025‑21479 и CVE‑2025‑21480 (CVSS 8.6) — ошибки в микрокоде GPU, приводящие к повреждению памяти и эскалации привилегий. • CVE‑2025‑27038 (CVSS 7.5) — use-after-free при рендеринге, включая вызовы через Chrome. Патчи уже доступны в OEM-сборках с мая. Рекомендуется установить как можно скорее. 📧 В России хотят запретить логин с Gmail и других иностранных ящиков СМИ сообщили, что российские власти рассматривают второй пакет мер — требование: разрешённый вход на отечественные сайты только через почту в доменах .ru, включая Mail и Яндекс. Это означает, что вход с Gmail, Yahoo и других иностранных почтовых сервисов может стать недоступным. ❓Что это значит для пользователей и бизнеса:      😱 Придётся заводить дополнительный .ru‑email и настроить переадресацию;     🤪  Крупным компаниям — адаптация форм несложна, у малого бизнеса могут быть временные неудобства. #news

REDtalk
1 137
Привет, друзья 💪! Хорошие ребята из СБПробизнес запускают офлайн-курс «Организация работы службы корпоративной безопасности» — без воды, по делу, с примерами из реальной практики. 📅 Когда: 24–27 июня 📍 Где: Ярославль, ЯГПУ им. К. Д. Ушинского Что разберут на курсе: 🔹 Как использовать аналитику в СБ 🔹 Чем СБ реально может быть полезна бизнесу 🔹 Особенности работы в ритейле, на производстве, в агро и строительстве 🔹 OSINT и цифровая гигиена 🔹 Кросс-функциональные связи внутри компании 🔹 Немного про GR По итогу — удостоверение от вуза! А еще курс предполагает компактную группу (до 15 человек), чтобы с каждым поработали лично. 📌 Подробнее — у них на канале: https://t.me/sbprobiz/1832

REDtalk
1 137
А вот и пост! 🤗 С сегодняшнего дня мы решили запустить цикл постов и статей, посвященных пентесту внутрянки🕺 Темой первого поста будет атака, связанная с отравлением NBT-NS/LLMNR (или poisoning на родном английском). Расскажем как выполнять данную атаку и как от него защититься.🛡 Всем удачного чтения 📚 🔽 NBT-NS/LLMNR poisoning. Немного пояснения, что это такое: 🔹 LLMNR — это протокол, позволяющий разрешать имена без использования DNS-сервера, предоставляя имя хоста для IP на основе многоадресного пакета. 🔹 NBT-NS — это достаточно старый протокол Windows, который используется для преобразования имен NetBIOS в IP-адреса в локальной сети. 🪄 И вот тут наступает магия: когда устройство в сети не может достучаться до нужного ресурса по DNS, он использует протоколы LLMNR/NBT-NS, отправляя многоадресный запрос. Суть атаки заключается в подмене источника для разрешения имени, когда злоумышленник отвечает на многоадресный запрос от жертвы. К примеру, пользователь хочет получить доступ до сетевого ресурса \\bobr, которого не существует. И вот тут, DNS, не поняв, что от него хотят, передает свои полномочия LLMNR/NBT-NS. Злоумышленник в свою очередь только, этого и ждет, и на своей тачке запускает всеми любимый responder для отравления (если вы любитель потрошить с винды, то подойдет инструмент Inveigh). Запускается простой командой с указанием интерфейса и включив необходимые настройки в Responder.conf.
responder -I eth1
Для запуска Inveigh можно воспользоваться следующей командой:
PS C:\Users\Administrator> Import-Module .\Inveigh.ps1
PS C:\Users\Administrator> Invoke-Inveigh Y -NBNS Y -ConsoleOutput Y -FileOutput Y
Далее остается только подождать, когда пользователь введет свои данные и наш инструмент перехватит их (что с ними делать расскажем в следующий раз). 🔼А теперь как же защититься от подобной наглости. 😉 Самое простое что можно сделать, это отключить протоколы LLMNR и NBT-NS. Для отключения LLMNR можно воспользоваться групповой политикой. Для этого необходимо перейти в следующий раздел : Local Computer Policy > Computer Configuration > Administrative Templates > Network > DNS Client, и далее включить политику Turn off smart multi-homed name resolution. 😝 Отключить NBT-NS можно с помощью настроек сетевого адаптера: необходимо в свойствах сетевого подключения выбрать протокол TCP/IPv4, далее нажать кнопку Advanсed и на вкладке WINS выбрать опцию Disable NetBIOS over TCP. Подписывайтесь на канал, чтобы быть в курсе интересных тем из мира ИБ! 😳 #redteam

REDtalk
1 137
Всем привет! 🤗 С вами MisterFox — новый автор этого канала! Недавно сменил сторону: из синей команды 🔷 ушёл в красную ♦️. Теперь вместо логов — эксплойты, вместо алертов — отчёты 😄 Буду периодически радовать вас мемами, забавными историями и иногда полезными постами.

REDtalk
1 137
🤩 Привет! Мне тут пришло письмо счастья с популярного хостинга о блокировке сервера за использование кобальта. Насколько я п
+4
🤩 Привет! Мне тут пришло письмо счастья с популярного хостинга о блокировке сервера за использование кобальта. Насколько я понял, некая популярная некоммерческая организация увидела иок и сразу настучала хостеру, предварительно добавив IP в список самых опасных серверов мира. Хостингу такой расклад, конечно, не понравился, они быстро заблокировали сервер и пришли ко мне за разъяснениями. К счастью, ситуация разрешилась за несколько дней (но не с первого раза), и сервер разлочили. В целом, я доволен их подходом и отношением к пентестерам, да и косяк на самом деле мой, нужно было почистить дефолтные иоки. Так что будьте бдительны, коллеги пентестеры. Смотрите, что раскатываете на серверах 👾

REDtalk
1 137
Добрый день, коллеги! ☕️ Предлагаем вашему вниманию обзор ключевых событий в сфере информационной безопасности за прошедшую неделю: ☁️ CISA: Масштабирование атак на SaaS-сервисы через секреты приложений и ошибки в конфигурации облака Агентство по кибербезопасности США (CISA) сообщило о масштабных атаках на облачные сервисы, включая платформу резервного копирования Commvault (Metallic), использующую Microsoft Azure. Злоумышленники использовали уязвимость CVE-2025-3928 в веб-сервере Commvault для обхода аутентификации и получения доступа к конфиденциальным данным, включая технические секреты и доступы приложений. Атаки были направлены на сервисы с недостаточной настройкой безопасности и чрезмерно открытыми правами доступа. 🛰 ЦРУ тайно управляло фан-сайтом «Звёздных войн» для связи с агентами Расследование 404 Media выявило, что сайт starwarsweb[.]net, выглядящий как обычный фан-ресурс по «Звёздным войнам», использовался ЦРУ для скрытой связи с агентами за рубежом. Ввод определённого пароля в строку поиска активировал скрытую авторизацию, открывая доступ к конфиденциальной переписке. Эта сеть была раскрыта более десяти лет назад, что привело к массовым арестам агентов ЦРУ в Иране и Китае. 🔐 Google: Квантовый компьютер сможет взломать RSA-2048 за неделю Исследование Google показало, что квантовый компьютер с 1 миллионом кубитов может взломать RSA-ключ длиной 2048 бит менее чем за неделю. Это в 20 раз меньше предыдущих оценок, что подчёркивает необходимость перехода на постквантовую криптографию. 📡 Масштабная атака на маршрутизаторы Asus Компания GreyNoise обнаружила скрытую кампанию по установке бэкдоров в маршрутизаторы Asus. Злоумышленники использовали уязвимость CVE-2023-39780 и легитимные функции устройств для получения устойчивого доступа, который сохраняется даже после перезагрузки и обновлений прошивки. 🔓 Утечка 184 миллионов паролей в открытом доступе Исследователь Джеремайя Фаулер обнаружил незащищённую базу данных с 184 млн записей, включая логины и пароли от аккаунтов Apple, Google, Facebook, Microsoft, банков и госструктур. Все данные хранились в открытом виде без шифрования, что делает их лёгкой добычей для злоумышленников. Причина — неправильная настройка облачного хранилища, что подтверждает статистику IBM: 82% утечек происходят из-за ошибок конфигурации. #news

REDtalk
1 137
💻 Привет! А я тут недавно поиграл в standoff 15 и хочу высказать своё объективно-субъективное мнение: В целом полигон норм,
💻 Привет! А я тут недавно поиграл в standoff 15 и хочу высказать своё объективно-субъективное мнение: В целом полигон норм, я ранее делал пост про HTB Pro Labs, и в сравнении с ними он очень даже неплохой. Инфра не вайпается глобально каждые 24 часа, можно попрактиковать сканирование и закрепление. Уязвимости и таски тоже в целом неплохие, Теперь то, что особенно запомнилось: 1️⃣ Инфра (и сайт стендоффа) стабильно уже который год работает нестабильно, особенно в первый день. В прошлом году на второй день под предлогом слива даже выдавали конфиги во внутреннюю сеть, так как гейты были сильно перегружены трафиком. 2️⃣ Про вайпы инфры я немного наврал. В этот раз орги задумали сделать авторестарт нескольких конкретных сервисов (преимущественно во внешнем сегменте) раз в 10 минут. В целом это убирает проблему старта игры, но также это и убирает нервы, потраченные на постоянных запуск чизела после перезапуска сервисов. 3️⃣ Также в этот раз было нововведение: каждая команда могла использовать только 10 белых адресов и с ограничением трафика с выданных vpn. Таким образом орги хотели ограничить количество людей за команду, К счастью, в игре по итогу вайтлистов не было и с трафиком я проблем не заметил. 4️⃣ Сложность заданий не равна их количеству баллов. В моём случае я в первый день пробил сегмент, в котором оказалось с freeipa, из-за чего я следующие 24 часа вкуривал мануалы, затем забил, запрыгнул на другой сегмент и сразу сдал 3 недопустимых события. Потраченного времени жаль. В целом ощущение от игры 50 на 50. можно было бы принять синюю таблетку, гулять по PHD и быть в неведении внутренней кухни 🤩 Но играть в следующем году я конечно же буду 👍

REDtalk
1 137
Repost from APT
🔐 Bitrix CMS Ultimate Pentest Guide A detailed guide on penetration testing for 1C-Bitrix CMS, one of the most popular conte
🔐 Bitrix CMS Ultimate Pentest Guide A detailed guide on penetration testing for 1C-Bitrix CMS, one of the most popular content management systems in CIS countries. The guide covers authentication bypasses, XSS, SSRF, LFI, RCE exploits, WAF bypass methods, and vulnerabilities in third-party modules (especially Aspro). 🔗 Source: https://pentestnotes.ru/notes/bitrix_pentest_full/ #1c #bitrix #web

REDtalk
1 137
Привет, друзья❤️! Пока мы затаились в преддверии стендофыча, ловите порцию Битрикса

REDtalk
1 137
🤥 Привет! А я тут провел небольшой ресерч по поводу пивотинга и в частности связка proxychains + nmap. Для поста материала оказалось много, поэтому 🔗 написал в Notion. Приятного просмотра.

REDtalk
1 137
#meme
#meme